Вернуться   RDot > Песочница/Sandbox > Мировые новости/World news

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 08.11.2010, 22:12   #1
lukmus
 
Аватар для lukmus
 
Регистрация: 11.08.2010
Сообщений: 132
Репутация: 20
По умолчанию В протоколе HTTP найдена серьезная DDOS-уязвимость

Исследователи Proactive Risk обнаружили системный дефект в HTTP-протоколе, который позволяет проводить атаки отказа в обслуживании даже в условиях защищенных коммуникаций.

Уязвимость опирается на так называемый «медленный» POST-трафик, который затруднительно дифференцировать от законного обмена данными. DDOS-атаки легко проводить в окружении многопользовательских онлайновых игр как среды распределенных компьютерных сетей, затрагивающих массу вычислительных систем.

Искомая методика приводит к обрушению веб-серверов с Microsoft IIS и Apache в рамках протоколов HTTP или HTTPS и, очевидно, любых «безопасных» подключений вроде SSL, VPN и других. Исследователи вскоре продемонстрируют свои наработки на примере игрового Java-апплета, инициирующего формирование бот-сети во время многопользовательской игры.

Что интересно, «медленная» POST-технология может быть вполне адаптирована для работы с SMTP и даже DNS-серверами. Атака работает так: вредоносный код отправляет POST-заголовки с легитимно заполненными полями, касающимися размеров готовящихся к передаче данных, однако последние затем передаются на очень низких скоростях, что приводит к формированию «заторов» на серверах и связыванию их системных ресурсов. Достаточно нескольких десятков тысяч ботов, чтобы отключить сервер. Балансирующее нагрузку ПО, ныне используемое для предотвращения DDOS-атак, не эффективно против новой методики.

8.10.2010
__________________
Контактный XMPP: lukmus[собака]wallstreetjabber.biz
lukmus вне форума   Ответить с цитированием
Старый 08.11.2010, 22:13   #2
lukmus
 
Аватар для lukmus
 
Регистрация: 11.08.2010
Сообщений: 132
Репутация: 20
По умолчанию

ужас, что творится, трасхост целиком валяется
__________________
Контактный XMPP: lukmus[собака]wallstreetjabber.biz
lukmus вне форума   Ответить с цитированием
Старый 08.11.2010, 22:48   #3
.Slip
 
Аватар для .Slip
 
Регистрация: 30.06.2010
Сообщений: 49
По умолчанию

Или я не так понял, или в этой новосте рассказали как подвесить блокирующие сокеты. Что впринципе является каким то проявлением капитана очевидности. HTTP в таком случае тут вообще не при чём
.Slip вне форума   Ответить с цитированием
Старый 08.11.2010, 23:05   #4
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

Галимый перевод =/
На английском: http://www.darkreading.com/vulnerability_management/security/attacks/showArticle.jhtml?articleID=228000532
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума   Ответить с цитированием
Старый 08.11.2010, 23:17   #5
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Думаю, фишка в том, что при ПОСТ-запросе в заголовке указывается размер данных(произвольный), которые будут переданы, что подразумевает резервирование под них памяти на сервере до окончания запроса.
В свою очередь, запрос никогда не будет окончен, он будет течь себе понемногу, таймаутов на этот случай вроде и нет совсем.
Умнó.
tipsy вне форума   Ответить с цитированием
Старый 08.11.2010, 23:23   #6
mr.The
 
Аватар для mr.The
 
Регистрация: 05.07.2010
Сообщений: 73
Репутация: 16
По умолчанию

Прочитал оригинал на английском. Ну всё в общем-то понятно, но не думаю, что это может сильно нагрузить сервер, но вот кол-во соединений довести до максимума вполне можно.
При этом, адекветных методов защиты от этого не вижу.
__________________
Бложек mr.The. :rolleyes:
mr.The вне форума   Ответить с цитированием
Старый 09.11.2010, 10:06   #7
paranoidchaos
Banned
 
Регистрация: 02.09.2010
Сообщений: 59
Репутация: -6
По умолчанию

Цитата:
Думаю, фишка в том, что при ПОСТ-запросе в заголовке указывается размер данных(произвольный), которые будут переданы, что подразумевает резервирование под них памяти на сервере до окончания запроса.
В свою очередь, запрос никогда не будет окончен, он будет течь себе понемногу, таймаутов на этот случай вроде и нет совсем.
Умнó.
тупо - давно уже есть проверка на не соответсвие размера контента - плюс ещё макс пост боди сайз
paranoidchaos вне форума   Ответить с цитированием
Старый 09.11.2010, 12:20   #8
lukmus
 
Аватар для lukmus
 
Регистрация: 11.08.2010
Сообщений: 132
Репутация: 20
По умолчанию

Цитата:
Сообщение от paranoidchaos Посмотреть сообщение
тупо - давно уже есть проверка на не соответсвие размера контента - плюс ещё макс пост боди сайз
так размер и будет соответсвовать, только идти будет очень долго
__________________
Контактный XMPP: lukmus[собака]wallstreetjabber.biz
lukmus вне форума   Ответить с цитированием
Старый 09.11.2010, 12:29   #9
paranoidchaos
Banned
 
Регистрация: 02.09.2010
Сообщений: 59
Репутация: -6
По умолчанию

Цитата:
так размер и будет соответсвовать, только идти будет очень долго
что будет идти долго ? а что таймауты отменили ?

допустим максимальный размер пост запроса 8 метров и на скока дней вы это растяните ?
paranoidchaos вне форума   Ответить с цитированием
Старый 09.11.2010, 13:44   #10
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Уважаемый, вы так получите ещё один минус.
Смотрите как надо:
---
Проверил телнетом на апаче 2.2.3 следующим запросом
Код:
POST /omg HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 2147483647

12345.....
Апач память не отожрал.

Прописал в конфиге
LimitRequestBody 1000000
как описано тут http://httpd.apache.org/docs/2.0/mod/core.html#limitrequestbody

Сразу после двойного переноса строки после указания заголовков апач рвёт соединение
Код:
POST /omg HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 2147483647

HTTP/1.1 413 Request Entity Too Large
Date: Tue, 09 Nov 2010 11:30:19 GMT
Server: Apache/2.2.3 (CentOS)
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>413 Request Entity Too Large</title>
</head><body>
<h1>Request Entity Too Large</h1>
The requested resource<br />/omg<br />
does not allow request data with POST requests, or the amount of data provided in
the request exceeds the capacity limit.
<p>Additionally, a 413 Request Entity Too Large
error was encountered while trying to use an ErrorDocument to handle the request.</p>
<hr>
<address>Apache/2.2.3 (CentOS) Server at xxx Port 80</address>
</body></html>
Так что фишка скорее не в выедании памяти, а в том, что у апача нет причин обрывать такие соединения, они могу висеть часами, а количество тредов ограничено.

Последний раз редактировалось tipsy; 09.11.2010 в 13:52..
tipsy вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot