Comentarios en: Ataque de denegación de servicio en servidores web (Apache vulnerable)

Por: Alberto Ferrer

Alberto Ferrer — Mon, 14 Sep 2009 12:01:38 +0000

Yo implemente algo para la versión 2 de slowloris luego de unas semanas de discutir con el autor sobre extenderlo, ya que lo que produce slowloris no se puede considerar ataque, dado que:

1.- Genera conexiones NORMALES & VALIDAS
2.- Satura por EFECTO de VISITAS REALES

Lo que le faltaba era ANONIMATO, entonces la idea es aplicarle un sistema de PROXY, con perl, utilizando una lista de proxy’s abiertos incrementaríamos de manera segura para el atacante la efectividad de las conexiones.

Ahora la forma mas simple de bloquear slowloris es usar NGINX como reverse proxy delante de APACHE, dejando a este ultimo como LOCAL webserver y así estaríamos a salvo de slowloris :) el que quiera probar le puede disparar a mi sitio web, lo probé con 250.000 conexiones y no murió.

Por: poison

poison — Fri, 10 Jul 2009 02:09:29 +0000

como se usa el perl?

Por: Diego

Diego — Tue, 30 Jun 2009 15:38:43 +0000

Me había equivocado con el link del primer mensaje xD perdon

Por: Diego

Diego — Tue, 30 Jun 2009 15:38:13 +0000

Hola!, miren no tiene nada q ver con el tema.. pero podrían chekear esta pagina??
http://www.killermsn.com/rf_5503.html
O sea supuestamente sirve para robar cuentas de correo, y boludeces así… pero ahí también pide la cuenta y contraseña de tu correo para registrate, podría ser que haga lo mismo??

Por: Diego

Diego — Tue, 30 Jun 2009 15:37:43 +0000

Hola!, miren no tiene nada q ver con el tema.. pero podrían chekear esta pagina?? desktop:/CF-TRC-V28-C221.rar
desktop:/CF-TRC-V28-C222.rar

O sea supuestamente sirve para robar cuentas de correo, y boludeces así… pero ahí también pide la cuenta y contraseña de tu correo para registrate, podría ser que haga lo mismo??

Por: Leo

Leo — Tue, 23 Jun 2009 15:12:50 +0000

Che x casualidad no se habra suicidado el dueño de Apache!
por ahi le cortan la cabellera.. nada mas!

Saludos
y probando!

Por: Abel Chiola

Abel Chiola — Mon, 22 Jun 2009 17:04:58 +0000

che hace mas de 72 horas y no hay ningún tipo de comunicado oficial de parte de apache.org?
eso me parece más grave aun que la propia vulnerabilidad…. o sera algún problema muuuy de fondo?

Por: Javier

Javier — Fri, 19 Jun 2009 18:52:05 +0000

De hecho, eso hacen, Billy. El tema es que tampoco es suficiente, ya que un request normal puede demorar unos cuantos segundos. (Tené en cuenta que un webserver usualmente tiene un límite de 100 a 300 instancias simultáneas…)

Por: Billy

Billy — Fri, 19 Jun 2009 18:32:42 +0000

Aha! nice! La gente de apache deberia, aparentemente, tumbar las conexiones establecidas despues de que pase un tiempo razonable sin actividad coherente.

Por: Gastón

Gastón — Fri, 19 Jun 2009 18:05:39 +0000

ops!!