d0z.me: url shortener per attacchi DDoS Layer 7

Con il caso Wikileaks e i DDoS lanciati dagli Anonymous utilizzando LOIC si sta assistendo a un fermento notevole riguardo a modi “non convenzionali” di portare denial of service. Il trend attuale vede sempre meno attacchi DDoS che agiscano al livello 4 dello stack ISO/OSI, che coinvolgano cioè il protocollo TCP, e sempre più attacchi a livello 7, cosiddetti Layer 7 DDoS, che tendano a saturare le risorse del web server che sia IIS o Apache.

Un metodo di attacco DDoS Layer 7 ideato di recente è d0z.me, opera di Ben Schmidt (supernothing307).

Quest’ultimo ha preso ad esempio la versione JavaScript di LOIC, ma soprattutto una tecnica presentata alla Black Hat di Abu Dhabi dagli Attack and Defense Lab che fa uso di due funzionalità di HTML5: WebWorkers e Cross Origin Requests.

Come funziona in pratica d0z.me? Sostanzialmente si tratta di un accorciatore di url (url shortener) in cui è possibile impostare un indirizzo “lecito” da far visitare e un indirizzo target da far colpire di nascosto ai client che visitino l’indirizzo lecito. Il bello di d0z.me è che per funzionare a dovere deve far rimanere più tempo possibile un client sulla pagina “lecita” per arrecare il maggior danno al target. Più un browser rimane sulla pagina, più il bersaglio viene inondato di richieste e le sue risorse vengono saturate. L’attacco viene portato da un JavaScript(chiamato worker.js) che gira in background mentre si visita la pagina lecita e inonda di richieste il bersaglio (anche 3,000/4,000 richieste al minuto).

L’autore di d0z.me, oltre a fornire un proof-of-concept del software, ne ha rilasciato anche i sorgenti con licenza GPLv3, dunque il tutto non solo è facilmente installabile ma anche modificabile e migliorabile. Inoltre Ben Schmidt ha offerto anche degli scenari di utilizzo per massimizzare gli effetti degli attacchi con d0z.me: linkare sui social network o su siti molto visitati delle pagine che contengano per esempio giochi in Flash o video divertenti che diminuiscano la frequenza di rimbalzo del visitatore, così che tutti mantengano la pagina lecita aperta il più a lungo possibile.

Insomma, d0z.me è un tool per effettuare DDoS interessante per molti aspetti: colpisce a livello 7 dello stack ISO/OSI e dunque è difficilmente arginabile (come ben spiegato da OWASP), richiede abilità SEO notevoli nell’attaccante per diminuire la frequenza di rimbalzo sulle pagine lecite, sfrutta i social network in modo originale per avere a disposizione una botnet di attaccanti non consapevoli di portare un attacco DDoS.

1 commento su “d0z.me: url shortener per attacchi DDoS Layer 7”

I commenti sono chiusi.