Общественности стали доступны две бесплатные программы (R U Dead Yet?
и OWASP HTTP POST Tool), которые реализуют недавно продемонстрированную
"медленную атаку HTTP POST".
В ходе OWASP 2010 Application Security Conference, прошедшей в Вашингтоне,
исследователи продемонстрировали то, как протокол HTTP помогает хакерам провести
новую форму распределенной атаки типа "отказ в обслуживании", которая заливает
веб-сервера медленным трафиком HTTP POST.
Исследователь Вонг Онн Чи, первым обнаруживший атаку в 2009 с группой
исследователей в Сингапуре, и Том Бреннан, разработчик Proactive Risk, также
показали, как онлайн игра может быть использована для создания ботов для ботнета,
который может управлять атакой HTTP POST DDoS. Чи говорит, что HTTP обладает
дефектами и, что все сервера или системы с веб-интерфейсом очень восприимчивы к
такой атаке. "Если у вас есть веб-интерфейс, то мы можем разрушить его (этой
атакой)", сказал Чи в начале этого месяца.
Независимый исследователь Равив Раз на прошлой неделе обнародовал программу
"R U Dead Yet?", а Чи и Бреннан презентовали свою программу на День
Благодарения.
Райан Барнетт, старший разработчик безопасности Trustwave SpiderLabs,
протестировал программу и разработал некоторые стратегии защиты, которые
используют определенные конфигурации ModSecurity и Apache. Барнетт использует
аналогию с системой проверки безопасности в аэропортах для того, чтобы
объяснить, что случается во время атаки HTTP POST: в отличие от традиционной
DDoS-атаки, где осуществляется слишком много "частных полетов" с целью быстрого
получения трафика, новый тип атак "потребляет соединения" и похож на
относительно короткую очередь пассажиров, проходящих контроль – большинство из
них – семьи с детьми, путешественники и те, кого необходимо долго проверять.
"И когда ты думаешь, что эти люди должны уже пройти на посадку,
металлоискатель подает сигнал, и вся группа вынуждена пройти проверку снова.
Именно это происходит во время медленных HTTP запросов", говорит Барнетт. "Они
пересылают данные очень медленно, и в тот момент, когда порог ожидания почти
превышен, они посылают небольшое количество информации".
Атака HTTP POST посылает POST заголовки, которые позволяют серверу узнать,
сколько информации передано, но когда дело касается самого сообщения, оно
отсылается очень медленно (чтобы занять соединение и лишить сервера ресурсов).
Как говорит Чи, такая атака, использующая всего несколько тысяч медленных
соединений HTTP POST, может разрушить сайт за считанные минуты.
Здесь вы можете ознакомиться со слайдами OWASP презентации, подготовленной
Онн Чи и Бреннаном.