banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Slow-Read DoS attack  XML
  [Discussion]   Slow-Read DoS attack 07/01/2012 12:14:17 (+0700) | #1 | 252028
shuichi_akai
Elite Member

[Minus]    0    [Plus]
Joined: 12/10/2003 10:40:06
Messages: 161
Location: /home
Offline
[Profile] [PM]

Qualsys Security Labs researcher Sergey Shekyan has created a proof-of-concept tool that could be used to essentially shut down websites from a single computer with little fear of detection. The attack exploits the nature of the Internet's Transmission Control Protocol (TCP), forcing the target server to keep a network connection open by performing a "slow read" of the server's responses.

The Slow Read attack, which is now part of Shekyan's open-source slowhttptest tool, takes a different approach than previous "slow" attacks such as the infamous Slowloris—a tool most notably used in 2009 to attack Iranian government websites during the protests that followed the Iranian presidential election. Slowloris clogs up Web servers' network ports by making partial HTTP requests, continuing to send pieces of a page request at intervals to prevent the connection from being dropped by the Web server.

Slow Read, on the other hand, sends a full request to the server, but then holds up the server's response by reading it very slowly from the buffer. Using a known vulnerability in the TCP protocol, the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl. The server will keep polling the connection to see if the client—the attacker—is ready for more data, clogging up memory with unsent data. With enough simultaneous attacks like this, there would be no resources left on the server to connect to legitimate users.

Shekyan said in his post about the tool that this type of attack could be prevented by setting up rules in the Web server's configuration that refuse connections from clients with abnormally small data window settings, and limit the lifetime of an individual request.  


Không nhất thiết phải phang nhau với tốc độ ánh sáng, thú vui bây giờ khá là nhã: gửi TCP header đàng hoàng nhưng TCP payload không chứa data khiến target server hết connnection để phục vụ.

References:
http://arst.ch/s1d
http://www.kb.cert.org/vuls/id/723308
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 07/01/2012 13:52:18 (+0700) | #2 | 252038
[Avatar]
jerrykun
Member

[Minus]    0    [Plus]
Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline
[Profile] [PM]
Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.


/hvaonline/posts/list/29851.html
Health, Knowledge, Family has the same value !
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 07/01/2012 17:36:40 (+0700) | #3 | 252045
shuichi_akai
Elite Member

[Minus]    0    [Plus]
Joined: 12/10/2003 10:40:06
Messages: 161
Location: /home
Offline
[Profile] [PM]

jerrykun wrote:
Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.


/hvaonline/posts/list/29851.html
 


Bạn nhầm với Slowloris rồi.
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 08/01/2012 05:16:28 (+0700) | #4 | 252059
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

shuichi_akai wrote:

jerrykun wrote:
Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.


/hvaonline/posts/list/29851.html
 


Bạn nhầm với Slowloris rồi. 


Đúng rồi. Dạng này khác slowloris. Slowloris cố tình làm thiếu escape char trong header để cho server không nhận được trọn bộ request. Trong khi dạng "slow-motion" này thì đã gởi request và đã sẵn sàng nhận response nhưng lại nhận cực chậm khiến cho server mất thời gian phục vụ các dịch vụ "chậm" này mà không còn đủ slot để phục vụ những requests khác.

Một cái là tấn công ở header trong việc gởi request, một cái là tấn công trong ở body trong việc nhận response.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 08/01/2012 06:57:59 (+0700) | #5 | 252063
[Avatar]
jerrykun
Member

[Minus]    0    [Plus]
Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline
[Profile] [PM]
Hì Hì.. đọc kỹ nhận ra 1 điểm chung là cả hai phương thức là đều cố giữ connection và tăng cường tạo thêm connection mới và hệ quả out of resource tại máy chủ :=]]
Health, Knowledge, Family has the same value !
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 08/01/2012 13:19:02 (+0700) | #6 | 252078
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Đây là một chủ đề rất hay để khai triển biện pháp phòng chống trên tầng IP và tầng ứng dụng. Anh em nhào vô đi smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 08/01/2012 21:46:07 (+0700) | #7 | 252089
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Em thấy bài viết này có hình thành 1 vài cách chống tuy chưa đọc xong nhưng em chỉ toàn thấy nó viết tips theo hướng cấu hình tinh chỉnh lại như Apache, Nginx,..
https://community.qualys.com/blogs/securitylabs/2011/11/02/how-to-protect-against-slow-http-attacks

Anh conmale có ý kiến gì thêm về loại tấn công này (về hướng phòng thủ) để cho mấy "em út" hình dung rõ ràng hơn smilie Tối nay mạng ở nhà cùi quá, chắc sáng mai mới thử nghiệm được nó để "hình dung" ra nó gây tổn hại gì . smilie
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 09/01/2012 08:24:01 (+0700) | #8 | 252102
[Avatar]
Ikut3
Elite Member

[Minus]    0    [Plus]
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
[Profile] [PM] [Yahoo!]
Modsecurity 2.6 có functions SecWriteStateLimit có thể hạn chế được kiểu tấn công này.

http://blog.spiderlabs.com/2012/01/modsecurity-advanced-topic-of-the-week-mitigation-of-slow-read-denial-of-service-attack.html
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 11/01/2012 21:00:46 (+0700) | #9 | 252275
[Avatar]
nkrrl
Member

[Minus]    0    [Plus]
Joined: 07/01/2010 08:12:39
Messages: 11
Offline
[Profile] [PM]
Một số đặc điểm cơ bản của TCP để phân biệt với UDP:
  • Truyền dữ liệu không lỗi (do có cơ chế sửa lỗi/truyền lại)
  • Truyền các gói dữ liệu theo đúng thứ tự
  • Truyền lại các gói dữ liệu mất trên đường truyền
  • Loại bỏ các gói dữ liệu trùng lặp
  • Cơ chế hạn chế tắc nghẽn đường truyền

Ở hai bước đầu tiên trong ba bước bắt tay, hai máy tính trao đổi một số thứ tự gói ban đầu (Initial Sequence Number -ISN). Số này có thể chọn một cách ngẫu nhiên. Số thứ tự này được dùng để đánh dấu các khối dữ liệu gửi từ mỗi máy tính. Sau mỗi byte được truyền đi, số này lại được tăng lên. Nhờ vậy ta có thể sắp xếp lại chúng khi tới máy tính kia bất kể các gói tới nơi theo thứ tự thế nào.
Trên lý thuyết, mỗi byte gửi đi đều có một số thứ tự và khi nhận được thì máy tính nhận gửi lại tin báo nhận (ACK). Trong thực tế thì chỉ có byte dữ liệu đầu tiên được gán số thứ tự trong trường số thứ tự của gói tin và bên nhận sẽ gửi tin báo nhận bằng cách gửi số thứ tự của byte đang chờ


Nếu như máy Client vẫn nhận dữ liệu và gửi ACK theo quy định để nhận dữ liệu tiếp theo--> mà quá trình này được làm chậm lại?
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 05/02/2012 10:43:14 (+0700) | #10 | 253159
CutiVNPT
Member

[Minus]    0    [Plus]
Joined: 20/01/2011 02:15:51
Messages: 2
Offline
[Profile] [PM]
Nếu k lầm thì cái này có từ khá lâu rồi.Tool Goodbye V5.2 do Puride cung cấp cho phép tấn công theo dạng này.
[Up] [Print Copy]
  [Discussion]   Slow-Read DoS attack 24/02/2012 16:12:49 (+0700) | #11 | 255085
bebeka
Member

[Minus]    0    [Plus]
Joined: 31/05/2009 02:19:51
Messages: 2
Offline
[Profile] [PM]
Theo như mình hiểu thì Slow read dos khai thác lỗ hổng CVE-2009: TCP/IP Orphaned Connections Vulnerability. Minh thấy Microsoft cũng đã công bố các bản update, trong đó có nói là Windows 7 32 bit và Windows Server 2008 R2 64 bit thì không bị những lỗi này.
http://technet.microsoft.com/en-us/security/bulletin/MS09-048
Mình tò mò thử tấn công với IIS 7.5 trên Windows 7 và Apache 2.2 trên Windows Server 2008 R2 64 bit thì dịch vụ web bị DOS chỉ sau tầm 5 giây tấn công.
Tuy nhiên nếu tấn công vào IIS 7.5 trên Windows Server 2008 R2 64 bit thì chả bị hề hấn gì.
Mình không hiểu tại sao lại có sự khác nhau này nữa?
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|