Компания Arbor Networks опубликовала 50-страничный аналитический отчёт из серии отчётов, посвящённых криптографическим подсистемам различных DDoS-программ. На этот раз они расшифровали программу MP-DDoser, которая впервые была обнаружена в декабре 2011 года.
Как и многие современные программы подобного типа, MP-DDoser представляет собой специализированный DDoS-бот без дополнительных функций, типа рассылки спама, кражи паролей и так далее.
Первые экземпляры MP-DDoser от декабря 2011 года помечались как «версия 1.0» и содержали большое количество серьёзных багов, в том числе полностью неработоспособную реализацию Slowloris и совершенно неправильное управление криптоключами. Но последние образцы (версия 1.6) стали гораздо лучше, ошибки исправлены. Более того, в последней версии появилась даже новая функция “Apache Killer”, которую специалисты Arbor Networks признают «весьма продвинутой».
Apache Killer — сложная техника выведения из строя серверов Apache без использования большого потока запросов. Впервые эта инновационная техника была реализована в августе 2011 года как концептуальный Perl-скрипт, просто для проверки идеи, но к концу 2011 года её внедрили в DDoS-бот Armageddon, но не очень удачно. Похоже, MP-DDoser — первый DDoS-бот, который сумел грамотно реализовать эту технику.
Суть атаки данного типа заключается в отправке очень длинных HTTP-заголовков Range, заставляя сервер (особенно Apache) выполнять несколько потоков с зацикливаниями — относительно большую работу, по сравнению с относительно маленьким запросом. Поэтому данная техника считается одной из самых эффективных ассиметричных атак.
Длинный заголовок Range генерируется функцией BuildApacheKillerRangeHeader_sub_406C00()
.
