blog.ijacek007.cz

Blog o všem trochu jinak.

Nedávno jsem se dostal na webu root.cz k zajímavému článku o velice jednoduchém, avšak velice efektním způsobu jak napadnout webový server apache. Tímto útokem takřka nepozorovaně způsobit s minimem nákladu odstavení dostupnosti webového serveru.

Vzhledem k tomu, že mam doma také web server na Apachi tak jsem se rozhodl, že vyzkouším zda jde provést útok a tím zrušit můj domácí server. Překvapivě jsem do 1 minuty docílil toho, že server mi neodpovídal na požadavky zobrazení www stránek.

Útok je velice jednoduše cíleny a nejde o žádný DoS útok. Tedy útok kdy zahltíte server stovkami požadavku a on je poté přetížen a nedovede odpovídat. Popisovaný útok se chová naprosto opačně. Využívá vlastnosti apache, který čeká na zaslaní hlavičky požadavku a teprve poté na celý požadavek odpoví. Skript kterým jsem svůj server shodil nedělá nic jiného než, že využívá této vlastnosti čekání na celou hlavičku a hlavičku pošle neúplnou.

Na tom by zase až tak nic špatného nebylo, jelikož když do času nastaveného v serveru nedorazí konec hlavičky spojení se uzavře a sever se věnuje dalším požadavkům. Jeden problém je již v času, po který apache v defaultním nastavení čeká na požadavek to je totiž standardně nastaveno na 300 vteřin ano na 5 minut. Pokud ale během té doby přijde další část hlavičky počítadlo se vynuluje a zase čeká.

Skript tedy nedělá nic jiného než, že pošle hlavičku a pak čeká po čase pošle další část a zase čeká takhle to muže dělat do nekonečna a tím blokovat apache, protože ten stále čeká na dokončení požadavku.

Touto velice jednoduchou fintou tak lze odstavit nechránění apache server s minimem úsilí mě k tomu stačil pc s ION procesorem a ubuntu. Zákeřnost takového útoku je jednak v tom, že apache o žádném útoku neví ve skutečnosti totiž odpovídá na regulerní dotazy v rámci nastaveného času a proto o takovémhle útoku nenaleznete nic ani v logu.

Nic nenaznačuje využití paměti, sítového provozu ani vytížení CPU všechno je totiž naprosto v normálu, přesto www stránky nejedou. Jediné co je podezřele je obrovský počet spojení.

I proti takovému útoků existuje ochrana, ale proto bych doporučil přečíst si originální článek z webu root.cz. já jsem si apache tímto „vytunil“ a opětovný utok proti mému serveru již udělá pouze minimální problémy. Po chvíli je komunikace s útočící IP adresou odmítnuta a server se dále stará o regulérní dotazy ostatních adres.


graf ukazjící podíl operačních systému na servrech v internetu.

Opravdu mě překvapilo, že k shozeni www stránek apache, který je podle serveru http://news.netcraft.com/ pořád jedničkou na světe v počtu webových serveru stačí tak málo.

Zajimavé odkazy

článek z root.cz o bezpečnostní chybě

Stránka kde sktryptu

Statistika podílu webových serveru


Štítky článku internet | nastaveni | opravy | zajimavosti |
Autor Ijacek.007 01.06.2011 zobrazeno 3 568x
Předchozí článek Téměř všechny hry na facebooku bezpečnostní hrozbou
Samsung Galaxy tab Další článek


gravatar

Vložit komentář

Nick *:
WWW:
Email * (nezobrazuje se ):
Gravatar:
Pamatuj si mě:
Komentář článku *:
Opiš následující text: *

* - vyžadované údaje. RSS kanál s komentáři

Přihlášení



Audioknihy

Jsme milovníci audio knížek, kterých aktuálně máme zakoupených 392. Poslech všech dohromady zabral přes 5353 hodin.

Z tohoto množství jsme si již stihli poslechnout téměř 50% tedy 197 audioknih.

Aktuálně poslouchaná audioknihakniha je Orlova kořist

Poslední hodnocenou audioknihou je Medvídek Pú Hodnocení audioknihy 4/5.

Nejlépe hodnocenou audioknihou je Astronautův průvodce životem na Zemi Hodnocení audioknihy 4/5.

Reklama