image

Nieuwe DoS-aanval legt webservers plat

donderdag 5 januari 2012, 17:52 door Redactie, 5 reacties

Een beveiligingsonderzoeker heeft een nieuwe Denial of Service-aanval ontwikkeld waarmee webservers eenvoudig zijn plat te leggen. De Slow Read DoS verlengt de tijd die een client nodig heeft om de antwoorden van de webserver te lezen. "Stel je een fastfoodrestaurant voor dat twee soorten hamburgers aanbiedt, en een klant kan bij de kassa niet bepalen welke hij wil, waardoor de rest van de klanten achter hem ook moeten wachten", zegt onderzoeker Sergey Shekyan op het weblog van beveiligingsbedrijf Qualys.

"Stel je nu hetzelfde restaurant voor, maar met een bord dat vraagt om alvast na te denken wat men wil bestellen, wat voor een snellere doorstroom moet zorgen. Maar nu kiest de klant honderden hamburgers, betaalt, en de rij moet weer wachten, omdat hij maar vijf hamburgers per keer naar zijn auto kan meenemen, waardoor het bord ook niet werkt."

Het "hamburger scenario" was de inspiratie toen Shekyan de "slowhttptest tool" ontwikkelde. "Ik was nieuwsgierig hoe HTTP servers op een langzame reactie op hun antwoorden reageren." De Slow Read DoS is gebaseerd op eerder onderzoek dat door onderzoekers Robert Hansen en de inmiddels overleden Jack C. Louis werd gedaan. Die bouwden de Slowloris HTTP DoS tool en Sockstress om servers mee plat te leggen.

Aanval
In tegenstelling tot Slowloris, waardoor de HTTP requests worden vertraagd en de webserver uiteindelijk geen legitieme clients meer kan bedienen, vertraagt de Slow Read DoS de antwoorden van de webserver. "Het idee van de aanval die ik implementeerde is eenvoudig. Omzeil de policies die de traag beslissende klanten filteren, stuur een legitieme HTTP request en lees vervolgens zeer langzaam het antwoord, waarbij je zoveel verbindingen als mogelijk open houdt."

De tweede vereiste is het "send buffer" van de server een lange periode met andere gegevens gevuld te houden, waardoor de verbinding met de client blijft bestaan. Dit wordt gedaan door de mogelijkheid van de client om gegevens te ontvangen te verkleinen naar een waarde die kleiner is dan het send buffer van de server.

Volgens Shekyan zou de Slow Read Dos-aanval nog lastiger te detecteren zijn dan bijvoorbeeld Slowloris-aanvallen. De onderzoeker merkt tevens op dat Apache in de standaard configuratie kwetsbaar is.

Reacties (5)
05-01-2012, 18:13 door Anoniem
Wat 'n ramp...
05-01-2012, 19:47 door [Account Verwijderd]
[Verwijderd]
06-01-2012, 13:16 door katamarom
Helaas wordt TCP nog vaak met betrouwbaar en veilig geassociêerd - soms zelfs zo voorgesteld bij het aanleren. Maar TCP biedt nog het ene, noch het andere, zoals de POC over slow http reading aangeeft.

Via http://www.lampo-netsec.eu/examples.htm meer achtergrond over beide.

En niet vergeten : dit soort aanval gaat over TCP, is niet beperkt tot HTTP ! Dus ook email servers, dns servers, om het even welke TCP based service ...
06-01-2012, 23:42 door Anoniem
dns servers zoals in alleen de zone transfers die over tcp gaan... anders is het udp hoor ... poort 53 voor iemand het gaat opzoeken. het zou nogal een overhead zijn als gewone dns queries over tcp gingen
08-01-2012, 17:40 door katamarom
Dat DNS queries uitsluitend over UDP zouden gaan, en enkel zone transfer over TCP, is ook een misopvatting.

Een DNS query zal wel eerst over UDP gestuurd worden (inderdaad : minder overhead), maar als het antwoord te groot is, wordt de TC (TrunCate bit) gezet, en daarmee wordt de client gevraagd om dezelfde query over TCP te sturen.
Cfr RFC 2181, puntje 9 :
Where TC is set, the partial RRSet that would not completely fit may
be left in the response. When a DNS client receives a reply with TC
set, it should ignore that response, and query again, using a
mechanism, such as a TCP connection, that will permit larger replies.

Bijgevolg, DNS servers moeten hun diensten zowel over UDP als TCP aanbieden, en staan bijgevolg bloot aan onverwacht gedrag van TCP clients.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.