Blog de Javier Smaldone

Todos los días se aprende algo viejo

Artículos recientes

Comentarios recientes

  • MARTHA SUSANA FIGUEROLA en Heladeras Gafa y su soporte técnico
  • Vanesa en Heladeras Gafa y su soporte técnico
  • Brenda en Fibertel y su proxy transparente
  • Daniel en Heladeras Gafa y su soporte técnico
  • Marìa en Heladeras Gafa y su soporte técnico

Artículos al azar

Ataque de denegación de servicio en servidores web (Apache vulnerable)

Publicado por   el 19 de junio de 2009  

Acabo de enterarme (y de probar con todo éxito) de un nuevo ataque de denegación de servicio (DoS) para servidores web. Lamentablemente, hasta este momento, todas las versiones de Apache son vulnerables

Realmente, es un ataque muy simple y que prácticamente no consume ancho de banda en el atacante, por lo que en este momento cualquiera puede (con un mínimo esfuerzo) dejar totalmente inaccesible cualquier sitio web que esté alojado en un servidor vulnerable.

Para probar la vulnerabilidad

slowloris.pl

Requerimientos:

  • perl
  • IO::Socket::INET (perl -MCPAN -e 'install IO::Socket::INET')
  • IO::Socket::SSL (perl -MCPAN -e 'install IO::Socket::SSL')
  • GetOpt::Long (perl -MCPAN -e 'install GetOpt::Long')

Categoría: Redes, Seguridad

10 comentarios

10 comentarios

Gastón dijo:
19 de junio de 2009 a las 15:05  

ops!!

Billy dijo:
19 de junio de 2009 a las 15:32  

Aha! nice! La gente de apache deberia, aparentemente, tumbar las conexiones establecidas despues de que pase un tiempo razonable sin actividad coherente.

Javier dijo:
19 de junio de 2009 a las 15:52  

De hecho, eso hacen, Billy. El tema es que tampoco es suficiente, ya que un request normal puede demorar unos cuantos segundos. (Tené en cuenta que un webserver usualmente tiene un límite de 100 a 300 instancias simultáneas…)

Abel Chiola dijo:
22 de junio de 2009 a las 14:04  

che hace mas de 72 horas y no hay ningún tipo de comunicado oficial de parte de apache.org?
eso me parece más grave aun que la propia vulnerabilidad…. o sera algún problema muuuy de fondo?

Leo dijo:
23 de junio de 2009 a las 12:12  

Che x casualidad no se habra suicidado el dueño de Apache!
por ahi le cortan la cabellera.. nada mas!

Saludos
y probando!

Diego dijo:
30 de junio de 2009 a las 12:37  

Hola!, miren no tiene nada q ver con el tema.. pero podrían chekear esta pagina?? desktop:/CF-TRC-V28-C221.rar
desktop:/CF-TRC-V28-C222.rar

O sea supuestamente sirve para robar cuentas de correo, y boludeces así… pero ahí también pide la cuenta y contraseña de tu correo para registrate, podría ser que haga lo mismo??

Diego dijo:
30 de junio de 2009 a las 12:38  

Hola!, miren no tiene nada q ver con el tema.. pero podrían chekear esta pagina??
http://www.killermsn.com/rf_5503.html
O sea supuestamente sirve para robar cuentas de correo, y boludeces así… pero ahí también pide la cuenta y contraseña de tu correo para registrate, podría ser que haga lo mismo??

Diego dijo:
30 de junio de 2009 a las 12:38  

Me había equivocado con el link del primer mensaje xD perdon

poison dijo:
9 de julio de 2009 a las 23:09  

como se usa el perl?

Alberto Ferrer dijo:
14 de septiembre de 2009 a las 9:01  

Yo implemente algo para la versión 2 de slowloris luego de unas semanas de discutir con el autor sobre extenderlo, ya que lo que produce slowloris no se puede considerar ataque, dado que:

1.- Genera conexiones NORMALES & VALIDAS
2.- Satura por EFECTO de VISITAS REALES

Lo que le faltaba era ANONIMATO, entonces la idea es aplicarle un sistema de PROXY, con perl, utilizando una lista de proxy’s abiertos incrementaríamos de manera segura para el atacante la efectividad de las conexiones.

Ahora la forma mas simple de bloquear slowloris es usar NGINX como reverse proxy delante de APACHE, dejando a este ultimo como LOCAL webserver y así estaríamos a salvo de slowloris :) el que quiera probar le puede disparar a mi sitio web, lo probé con 250.000 conexiones y no murió.

Artículo al azar

Deja tu comentario:

«
»