Lunes, Febrero 06, 2012

Buscar en el sitio:

Nueva herramienta que causa Denial of Service (DoS) a APACHE.

Martes 23 de Junio de 2009

Hace algunos días (el 17 de Junio 2009 para ser exactos), se liberó una herramienta que causa Denial of Service a una gran variedad de servidores HTTP, entre ellos, APACHE.

El ataque generado por esta herramienta puede considerarse crítico, ya que podría afectar a una gran mayoría de servidores HTTP, debido a la popularidad de APACHE.

Lo que hace especial a esta herramienta es que, a diferencia de muchas otras ya existentes, no requiere una gran cantidad de ancho de banda para efectuar el ataque, ni coordinar a más de un equipo (haciéndolo distribuido: DDoS) para realizarlo exitosamente.

Solo se requiere una PC, lenguaje de programación PERL (Open Source), la herramienta (script escrito en dicho lenguaje), y una conexión a Internet común y corriente (enlace ADSL).

La forma en que esta herramienta causa el DoS es agotando las conexiones disponibles de APACHE. Sin embargo, la parte interesante radica en que el servidor HTTP mantiene las conexiones abiertas porque esta herramienta envía solicitudes (requests) de HTTP incompletas.

Es decir, al abrir las conexiones, la herramienta envía un request de HTTP legítimo:

GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n
Content-Length: 42\r\n

Sin embargo, está incompleto, falta un CRLF al final.

Esta situación, desde el punto de vista del servidor HTTP, es legítima. Por lo tanto, mantiene la conexión abierta esperando a que se complete el request de HTTP.
Pero esta herramienta para mantener el ataque, en lugar de enviar la parte faltante, envía:
X-a: b\r\n

Lo cual no significa nada para el servidor HTTP, es descartado y sigue esperando (manteniendo la conexión abierta).

Los servidores HTTP afectados son:

  • Apache 1.x
  • Apache 2.x
  • dhttpd
  • GoAhead WebServer
  • Squid


Aparentemente, los siguientes NO son afectados:

  • IIS6.0
  • IIS7.0
  • lighttpd
  • nginx
  • Cherokee


Hasta el momento, no hay parches oficiales de Apache (qué es el más popular de los servidores HTTP afectados) para mitigar este ataque. Y solo puede ser mitigado con un IPS con sensores de DoS.

Más información:

SANS ISC - Apache HTTP DoS tool released
http://isc.sans.org/diary.html?storyid=6601


Horacio Serna, CISSP
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla
VITESSE Networks

< Anterior   Siguiente >
Síguenos en Facebook   Síguenos en Twitter