Acabo de enterarme (y de probar con todo éxito) de un nuevo ataque de denegación de servicio (DoS) para servidores web. Lamentablemente, hasta este momento, todas las versiones de Apache son vulnerables
Realmente, es un ataque muy simple y que prácticamente no consume ancho de banda en el atacante, por lo que en este momento cualquiera puede (con un mínimo esfuerzo) dejar totalmente inaccesible cualquier sitio web que esté alojado en un servidor vulnerable.
Para probar la vulnerabilidad
Requerimientos:
- perl
- IO::Socket::INET (
perl -MCPAN -e 'install IO::Socket::INET'
) - IO::Socket::SSL (
perl -MCPAN -e 'install IO::Socket::SSL'
) - GetOpt::Long (
perl -MCPAN -e 'install GetOpt::Long'
)
ops!!
Aha! nice! La gente de apache deberia, aparentemente, tumbar las conexiones establecidas despues de que pase un tiempo razonable sin actividad coherente.
De hecho, eso hacen, Billy. El tema es que tampoco es suficiente, ya que un request normal puede demorar unos cuantos segundos. (Tené en cuenta que un webserver usualmente tiene un límite de 100 a 300 instancias simultáneas…)
che hace mas de 72 horas y no hay ningún tipo de comunicado oficial de parte de apache.org?
eso me parece más grave aun que la propia vulnerabilidad…. o sera algún problema muuuy de fondo?
Che x casualidad no se habra suicidado el dueño de Apache!
por ahi le cortan la cabellera.. nada mas!
Saludos
y probando!
Hola!, miren no tiene nada q ver con el tema.. pero podrían chekear esta pagina?? desktop:/CF-TRC-V28-C221.rar
desktop:/CF-TRC-V28-C222.rar
O sea supuestamente sirve para robar cuentas de correo, y boludeces así… pero ahí también pide la cuenta y contraseña de tu correo para registrate, podría ser que haga lo mismo??
Hola!, miren no tiene nada q ver con el tema.. pero podrían chekear esta pagina??
http://www.killermsn.com/rf_5503.html
O sea supuestamente sirve para robar cuentas de correo, y boludeces así… pero ahí también pide la cuenta y contraseña de tu correo para registrate, podría ser que haga lo mismo??
Me había equivocado con el link del primer mensaje xD perdon
como se usa el perl?
Yo implemente algo para la versión 2 de slowloris luego de unas semanas de discutir con el autor sobre extenderlo, ya que lo que produce slowloris no se puede considerar ataque, dado que:
1.- Genera conexiones NORMALES & VALIDAS
2.- Satura por EFECTO de VISITAS REALES
Lo que le faltaba era ANONIMATO, entonces la idea es aplicarle un sistema de PROXY, con perl, utilizando una lista de proxy’s abiertos incrementaríamos de manera segura para el atacante la efectividad de las conexiones.
Ahora la forma mas simple de bloquear slowloris es usar NGINX como reverse proxy delante de APACHE, dejando a este ultimo como LOCAL webserver y así estaríamos a salvo de slowloris :) el que quiera probar le puede disparar a mi sitio web, lo probé con 250.000 conexiones y no murió.