Apache, Squid y Slowloris
47 views
Skip to first unread message
Noel Vargas
Jun 19, 2009, 12:26:53 PM6/19/09
to Seguridad Software Libre Nicaragua
Buenos días estimados,
Hoy estaba revisando que salió la herramienta Slowloris, desarrollada
en Perl, la cual causa ataques DoS en Apache 1.x/2.x y Squid.
Esta herramienta, en lugar de saturar el servidor con miles de
conexiones, envía solicitudes HTTP parciales al servidor cada cierto
intervalo de tiempo, manteniendo abierta las conexiones hasta consumir
los sockets del servidor. Es de bajo consumo de ancho de banda,
simplemente va abriendo conexiones y manteniéndolas abiertas.
Dado que no cierra la conexión, el ataque NO APARECE EN LOS LOGS sino
hasta que el ataque termina, en forma de errores 400.
Hasta esta hora no está disponible aún en Milworm, pero les dejo el
link del SANS con la descripción[1].
Según el artículo, aún no se publica cómo prevenir el ataque desde
Apache, pero sí usando el proxy reverso Perlbal.
Otras contramedidas como HTTPReady son inútiles porque sólo intercepta
solicitudes GET y HEAD, pero no POST.
[1]http://isc.sans.org/diary.html?storyid=6601
Hoy estaba revisando que salió la herramienta Slowloris, desarrollada
en Perl, la cual causa ataques DoS en Apache 1.x/2.x y Squid.
Esta herramienta, en lugar de saturar el servidor con miles de
conexiones, envía solicitudes HTTP parciales al servidor cada cierto
intervalo de tiempo, manteniendo abierta las conexiones hasta consumir
los sockets del servidor. Es de bajo consumo de ancho de banda,
simplemente va abriendo conexiones y manteniéndolas abiertas.
Dado que no cierra la conexión, el ataque NO APARECE EN LOS LOGS sino
hasta que el ataque termina, en forma de errores 400.
Hasta esta hora no está disponible aún en Milworm, pero les dejo el
link del SANS con la descripción[1].
Según el artículo, aún no se publica cómo prevenir el ataque desde
Apache, pero sí usando el proxy reverso Perlbal.
Otras contramedidas como HTTPReady son inútiles porque sólo intercepta
solicitudes GET y HEAD, pero no POST.
[1]http://isc.sans.org/diary.html?storyid=6601
Igor Guerrero
Jun 19, 2009, 12:34:58 PM6/19/09
to seguridad-softwar...@googlegroups.com
Perlbal no es un load balancer?
--
Igor.
http://www.igorgue.info
2009/6/19 Noel Vargas <nva...@gmail.com>
--
Igor.
http://www.igorgue.info
Noel Vargas
Jun 19, 2009, 12:47:01 PM6/19/09
to Seguridad Software Libre Nicaragua
Tomando la descripción de Perlbal[1]
---
"Perlbal is our Perl-based reverse proxy load balancer and web server.
It processes hundreds of millions of requests a day just for
LiveJournal, Vox and TypePad and dozens of other "Web 2.0"
applications."
---
[1]http://www.danga.com/perlbal/
Completando, también afecta a los servidores web dhttpd y GoAhead
WebServer. No encuentro info si afecta al nginx.
> 2009/6/19 Noel Vargas <nvar...@gmail.com>
---
"Perlbal is our Perl-based reverse proxy load balancer and web server.
It processes hundreds of millions of requests a day just for
LiveJournal, Vox and TypePad and dozens of other "Web 2.0"
applications."
---
[1]http://www.danga.com/perlbal/
Completando, también afecta a los servidores web dhttpd y GoAhead
WebServer. No encuentro info si afecta al nginx.
> 2009/6/19 Noel Vargas <nvar...@gmail.com>
Igor Guerrero
Jun 19, 2009, 1:02:34 PM6/19/09
to seguridad-softwar...@googlegroups.com
Pues si, un "reverse proxy load balancer" :P, pero ya en serio que app seria no usa un load balancer.
--
Igor.
http://www.igorgue.info
2009/6/19 Noel Vargas <nva...@gmail.com>
--
Igor.
http://www.igorgue.info
Noel Vargas
Jun 19, 2009, 1:08:15 PM6/19/09
to Seguridad Software Libre Nicaragua
Tomando en cuenta que la mayoría de ISP locales no usan, creo que es
un buen momento para hacer un llamado de atención.
Según leía, la herramienta NO FUNCIONA BIEN en servidores Windows ni
usando CygWin debido a la cantidad de sockets máximos que permite
abrir, pero con Linux y otros *nix no hay mayor problema.
Por lo pronto, estoy notificando a los sysadmin que conozco para que
se pongan a prueba ellos mismos antes que alguien más lo haga.
On Jun 19, 11:02 am, Igor Guerrero <igf...@gmail.com> wrote:
> Pues si, un "reverse proxy load balancer" :P, pero ya en serio que app seria
> no usa un load balancer.
>
> 2009/6/19 Noel Vargas <nvar...@gmail.com>
un buen momento para hacer un llamado de atención.
Según leía, la herramienta NO FUNCIONA BIEN en servidores Windows ni
usando CygWin debido a la cantidad de sockets máximos que permite
abrir, pero con Linux y otros *nix no hay mayor problema.
Por lo pronto, estoy notificando a los sysadmin que conozco para que
se pongan a prueba ellos mismos antes que alguien más lo haga.
On Jun 19, 11:02 am, Igor Guerrero <igf...@gmail.com> wrote:
> Pues si, un "reverse proxy load balancer" :P, pero ya en serio que app seria
> no usa un load balancer.
>
Igor Guerrero
Jun 19, 2009, 1:27:06 PM6/19/09
to seguridad-softwar...@googlegroups.com
No es necesario usar Perbal, podes usar otro load balancer para windows por ejemplo.
Aqui hay un aticulo: http://support.microsoft.com/kb/323431
2009/6/19 Noel Vargas <nva...@gmail.com>
Reply all
Reply to author
Forward
0 new messages