mitigar el DOS anónimo (combinado con pyloris)

12

Encontré este video bastante aterrador en youtube, que lleva a DOS a un nivel completamente nuevo, al parecer que proviene de múltiples fuentes. Como medida contraria a la secuencia de comandos slowloris.py de Rsnake (Robert Hansen), esta vulnerabilidad, principalmente en los servidores web Apache, se aborda al limitar el número de conexiones simultáneas desde una única fuente realizada en el archivo de configuración de Apache.

imagínate estos dos combinados:
1- PyLoris puede utilizar proxies SOCKS y conexiones SSL, y puede apuntar a protocolos como HTTP, FTP, SMTP, IMAP y Telnet; cuando se configura correctamente, utiliza un ancho de banda bajo, lo que hace posible que una sola máquina desactive un servidor
2- Tor lo protege al intercambiar sus comunicaciones en una red distribuida de relés administrados por voluntarios de todo el mundo: evita que alguien que observa su conexión a Internet aprenda qué sitios visita, y evita que los sitios que visita aprendan su ubicación física. Tor trabaja con muchas de sus aplicaciones existentes, incluidos navegadores web, clientes de mensajería instantánea, inicio de sesión remoto y otras aplicaciones basadas en el protocolo TCP.

¿Existe alguna forma de detectar tal denegación de servicio? Se recomienda mucho cualquier sugerencia o desconexión

    
pregunta Tawfik Khalifeh 03.09.2012 - 21:29
fuente

4 respuestas

16

sarepta: Para empezar, soy el autor de PyLoris , así que he investigado bastante sobre esto. De hecho, el ataque que ha previsto es uno que codifiqué específicamente al desarrollar PyLoris, la versión actual incluso viene con una aplicación de ayuda tor_switcher.py que enruta el ataque a través de múltiples nodos de salida Tor.

La única forma buena de detectar una inundación basada en Tor es verificando las direcciones IP de origen contra los nodos conocidos de salida de Tor. Esto es trivial con listas negras o complementos como mod_security. En mi investigación, mod_antilors no previene el vector PyLoris + Tor ya que está basado en la dirección IP. Mi elección personal para prevenir este ataque es utilizar cualquier servidor que no sea Apache para manejar conexiones directas desde Internet. Esto podría significar usar un proxy inverso como Varnish para reunir solicitudes o cambiar a algo como nginx para su servidor web.

Además de repensar su infraestructura, creo que una combinación de tiempos de espera bajos, límites de conexión IP, tasas de transferencia de datos mínimas, límites de tiempo máximos de conexión y tamaños máximos de solicitud pueden proporcionar una protección adecuada contra esta forma de ataque. Digo todo esto con el descargo de responsabilidad de que no hay forma de prevenir esta forma de ataque, y que estas configuraciones deberían pensarse a fondo para evaluar su impacto en cada servidor.

Para contrarrestar la afirmación de Tom Leek de que Tor no es una forma eficiente de realizar ataques de Denegación de Servicio, PyLoris y SlowLoris son ataques de capa de aplicación y no están basados en un ancho de banda abrumador. De hecho, los métodos de conexión agotadores como el que utilizan estos son una de las pocas técnicas que funcionan en entornos estrangulados (consulte el uso de Slow / PyLoris en la Revolución Verde de Irán). En la cima de un * ataque de loris, un servidor probablemente experimentará menos de 1kbps de tráfico.

Para contrarrestar el razonamiento de DW, una de las características más vendidas de Pravail APS fue la capacidad de prevenir PyLoris y SlowLoris (expresadas explícitamente en sus folletos anteriores). Este método de ataque es menos frecuente que las inundaciones HTTP estándar como LOIC, pero solo porque es una técnica significativamente más difícil de usar correctamente.

    
respondido por el Motoma 04.09.2012 - 23:21
fuente
2

La semana pasada pasé mucho tiempo analizando un gran ataque que se lanzó contra mis servidores. El ataque primero fue sacado de una red de botnet que fue muy fácil de bloquear. De hecho mi firewall lo bloqueó automáticamente.

El segundo ataque se realizó con solicitudes http que se enviaron a través de TOR. Al principio, descargué la lista de TOR de direcciones IP (desde aquí enlace ) y los bloqueé a todos. Analicé los paquetes y descubrí que compartían muchas similitudes de bandera y pude bloquear los paquetes en función de la bandera.

Espero que esto ayude.

    
respondido por el HEX 04.09.2012 - 23:18
fuente
1

Solo usa las defensas estándar contra el ataque de Slowlaris.

Es probable que Tor no sea una herramienta de ataque efectiva. Es altamente limitado por la velocidad y el atacante no podrá enviar muchos paquetes de ataque a través de él. No me preocuparía demasiado.

Es importante tener en cuenta que este ataque es intrínsecamente detectable. Eso significa que, si te sucede, será fácil de detectar. También significa que si les sucediera a otros con frecuencia, lo escucharíamos. El hecho de que otros no informen ampliamente sobre este tipo de ataque indica que probablemente no sea un ataque de alta prioridad que deba preocuparse mucho.

Si alguien quiere montar un ataque de DOS contra su sitio web, es más probable que utilicen métodos de baja tecnología, como intentar inundar su conexión de red con toneladas de paquetes. Así que concéntrate en defenderte contra los riesgos más probables. Por ejemplo, haga arreglos para un sitio de alojamiento o CDN que pueda soportar tal ataque de DOS. (Eso también ayudará contra Slowloris, como un beneficio adicional). Para sitios pequeños, puede consultar CloudFlare o sus competidores.

Consulte también ¿Cómo defender mejor un ataque DOS "slowloris" contra un servidor web Apache? y Slowloris DOS Mitigation Guide y mod_antiloris .

    
respondido por el D.W. 03.09.2012 - 21:43
fuente
0

Tor no es una forma eficiente de realizar Ataques distribuidos de denegación de servicio . Tor propaga las solicitudes a través de varios relés, pero no hay amplificación. Todo lo que sale de la red Tor ha tenido que aparecer en algún momento. Un atacante solitario con su PC, que intenta sumergir su servidor con millones de solicitudes, primero tendrá que obtener sus solicitudes de su propia PC, a través de su ISP. Él fallará primero.

Tor es bueno en ocultar la fuente pero no es una botnet . Para hacer un DoS desbordando un servidor con muchas solicitudes, el atacante debe poder enviar muchas solicitudes, lo que implica usar un servidor más grande que el suyo (especialmente su ancho de banda de red), o utilizando muchas máquinas que hablan con su servidor a través de sus conexiones de red (de ahí la primera D en DDoS).

    
respondido por el Tom Leek 03.09.2012 - 22:30
fuente

Lea otras preguntas en las etiquetas