ddos Archives - bufferOverflow

slowhttptest: DoS contro Apache con la vulnerabilità range header (ma non solo)

martedì, 30 Agosto, 2011 di Matteo Campofiorito

Il 19 agosto scorso, sulla Full Disclosure Mailing List, è comparso un messaggio di Kingcope con allegato “killapache.pl” uno script PERL che ha messo a nudo una vulnerabilità in Apache in grado di consentire un DoS del webserver (dunque un DoS Layer 7 di cui ho già parlato in precedenza anche se mi riferivo a DDoS) open source. Basta che ad eseguire lo script da un solo PC per mettere in ginocchio Apache e la macchina che lo esegue a causa dell’elevato consumo di RAM e CPU. Lo script è tutt’altro che perfetto e non sempre affidabile nello sfruttare la vulnerabilità. Dai test che ho potuto effettuare spesso il bersaglio veniva riconosciuto come non vulnerabile pur essendolo.

A distanza di meno di una settimana dal messaggio di Kingcope la possibilità di sfruttare la vulnerabilità “range header handling” di Apache è stata inclusa nel tool slowhttptest versione 1.1. Il team di Apache ha rilasciato da pochi minuti una nuova release del web server, Apache HTTP Server 2.2.20, proprio per correggere la vulnerabilità, ma si può far ricorso comunque a slowhttptest per effettuare dei test sui propri web server o su server che non siano aggiornati (è probabile che le maggiori distribuzioni Linux includano l’aggiornamento tra le patch di sicurezza rilasciate nelle prossime ore). Vediamo come installarlo e utilizzarlo.

Installazione di slowhttptest:

$ tar -xzvf slowhttptest-1.1.tar.gz


$ cd slowhttptest-1.1
$ ./configure --prefix=/usr/local/

$ make

$ sudo make install

Per verificare la tenuta di Apache allo sfruttamento della vulnerabilità range header possiamo far riferimento alla documentazione presente su ApacheRangeTest, per esempio si potrà eseguire il seguente comando:

slowhttptest -R -u http://127.0.1.1/ -t GET -c 1000 -a 10 -b 3000 -r 500

Se invece avete necessità di verificare la resistenza di Apache a un “normale” DoS (una sorta di stress test un po’ brutale) basterà usare slowhttptest nel modo che segue:

./slowhttptest -c 1000 -B -g -o my_server_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://www.mioserverditest.com -x 10

Per il significato dei parametri passati rimando a slowhttptest installazione e uso.

Importante: evitate di lanciare attacchi DoS con slowhttptest su server che non siano di vostra proprietà, si tratta di azioni punibili penalmente.

Riferimenti:

Apache HTTPD Security ADVISORY
aggiornamento dello script di Kingcope
slowhttptest su Google Code
Slowloris, altro tool per effettuare DoS contro Apache
Keep-Dead – Denial of service script, script interessante che permette di effettuare DoS contro Apache

Governo.it traballa ma regge ai colpi degli Anonymous

domenica, 6 Febbraio, 2011domenica, 6 Febbraio, 2011 di Matteo Campofiorito

Dalle 15 di oggi, le 14 GMT, gli Anonymous stanno martellando www.governo.it. Come al solito è stato tutto anticipato via Twitter ma anche attraverso il blog.

Devo dire che mi sarei aspettato qualcosa di più, nell’attacco a Visa e Mastercard i siti sono andati giù in pochi minuti, mentre Governo.it è stato ed è attualmente molto lento ma non è completamente impossibile visualizzarlo. Non mi risulta che vi siano stati spostamenti verso altri server, l’IP è sempre lo stesso 195.66.10.19. Comhttps://www.bufferoverflow.it/wp-admin/edit-comments.phpe Web server gli Anonymous se la stanno vedendo con Microsoft IIS 6.0 e sistema operativo Windows Server.

Attualmente, se si effettua un traceroute verso www.governo.it ci si ferma a:

9 16 ms 48 ms 10 ms rt-rm2-ru-pdc.rm2.garr.net [193.206.131.50]

O sono stati pochi gli Anonymous che hanno deciso di colpire il governo italiano oppure il CASPUR, che a quanto vedo dal NIC dovrebbe essere l’organizzazione che gestisce tecnicamente il dominio, ha fatto un buon lavoro. Qualche informazione in più sulla struttura di router su cui poggia Governo.it può essere ricavata da qui ma anche da Hurricane Electric che offre dettagli sul router AS24869 della Presidenza del Consiglio dei Ministri e sui due router peer AS137 (GARR Italian academic and research network) e AS5397 (CASPUR).

P.S. Sempre su Hurricane Electric ho trovato un elenco di tutti i router italiani dove ovviamente è anche presente il router della Presidenza del consiglio.

d0z.me: url shortener per attacchi DDoS Layer 7

sabato, 25 Dicembre, 2010venerdì, 24 Dicembre, 2010 di Matteo Campofiorito

Con il caso Wikileaks e i DDoS lanciati dagli Anonymous utilizzando LOIC si sta assistendo a un fermento notevole riguardo a modi “non convenzionali” di portare denial of service. Il trend attuale vede sempre meno attacchi DDoS che agiscano al livello 4 dello stack ISO/OSI, che coinvolgano cioè il protocollo TCP, e sempre più attacchi a livello 7, cosiddetti Layer 7 DDoS, che tendano a saturare le risorse del web server che sia IIS o Apache.

Un metodo di attacco DDoS Layer 7 ideato di recente è d0z.me, opera di Ben Schmidt (supernothing307).

LOIC, il software che permette i DDoS a favore di Wikileaks

giovedì, 9 Dicembre, 2010mercoledì, 8 Dicembre, 2010 di Matteo Campofiorito

LOIC DDoS Wikileaks

Gli Anonymous usano una botnet per portare i propri attacchi a PayPal, Mastercard, Visa (l’attacco al sito Web di quest’ultima è ancora in corso in queste ore). Ma non si tratta di una botnet di computer zombie infetti, controllati da qualche command-and-control server (“C&C”). Si tratta di computer “consenzienti”, computer appartenenti a persone che volontariamente decidono di prendere parte agli attacchi contro società colpevoli di aver “girato le spalle” a Julian Assange, l’ormai arcinoto capo di Wikileaks. Lo strumento che permette agli Anonymous di attaccare sfruttando una potenza di fuoco enorme si chiama LOIC ed è liberamente scaricabile da GitHub.