Hendrik
19/06/2009, 17:42
Niet dat het jullie direct aangaat maar de website draait wel op apache.
http://www.security.nl/artikel/29769/1/ ... rvers.html (http://www.security.nl/artikel/29769/1/Hackertool_voor_platleggen_Apache_webservers.html)
Een bekende beveiligingsonderzoeker heeft een programma online gezet waarmee het kinderspel is om Apache webservers plat te leggen. Apache is de populairste webserver voor het hosten van websites en wordt door talloze bekende sites gebruikt. Slowloris, zoals de tool heet, houdt alle verbindingen open door gedeeltelijke HTTP requests te sturen. De server wacht tot de volledige header binnenkomt, maar Slowloris stuurt die niet en blijft de nep-headers sturen, die de verbinding openhouden. Hierdoor raakt de webserver uiteindelijk overbelast en is er sprake van een Denial of Service.
Volgens Robert "RSnake" Hansen die de tool ontwikkelde, zijn met name servers met threading kwetsbaar. Dit komt omdat ze de hoeveelheid threading die ze toestaan proberen te beperken. De DoS-tool moet wachten totdat alle sockets beschikbaar zijn, voordat die ze allemaal in beslag kan nemen. In het geval van een druk bezochte website kan het dus even duren voordat dit het geval is. Slowloris is verder van een aantal stealth features voorzien. Zo kan het verschillende host headers sturen, in het geval het doelwit een virtuele host is en de logs apart per virtuele host worden opgeslagen. Als de aanval echter plaatsvindt, worden de logs pas geschreven als de request is voltooid. "Het is dus mogelijk om een server voor minuten uit de lucht te halen, zonder dat het log wordt bijgewerkt om iemand te waarschuwen."
Scriptkiddies
Hansen krijgt het verwijt dat hij hiermee een "leger van scriptkiddies" bewapent. De onderzoeker ontkent dat. Het probleem is namelijk de manier waarop Apache werkt. Volgens het Internet Storm Center, dat bewust niet naar de pagina van Hansen linkt, zijn er geen instellingen in Apache die de aanval voorkomen. Het verhogen van MaxClients maakt het alleen iets lastiger voor een aanvaller. Wie voor zijn webserver de Perlbal reverse proxy neerzet zou de aanval echter kunnen afslaan.
Hansen hoopt dat ontwikkelaars beter gaan nadenken over de architectuur van webservers. Met name als het gaat om het "verwachte" gedrag van de webserver. Daarnaast zou er een standaard configuratie moeten zijn om tegen dit soort aanvallen bescherming te bieden. "Als het geen probleem is, dan maakt het ook niet uit als scriptkiddies het hebben, niet waar? Of het nu wel of geen groot probleem is, het is de moeite waard om erover te praten, aangezien de aanbevelingen van Apache waardeloos zijn." Beheerders van een IIS-webserver hoeven zich geen zorgen te maken, Microsoft's webserver is niet kwetsbaar voor de aanval.
En nu niet gaan testen he!
Ik ga wat oplossingen in gebruik nemen die het moet proberen te verkomen.
Dit houd in dat een X aantal connecties een BAN krijgt.
http://www.security.nl/artikel/29769/1/ ... rvers.html (http://www.security.nl/artikel/29769/1/Hackertool_voor_platleggen_Apache_webservers.html)
Een bekende beveiligingsonderzoeker heeft een programma online gezet waarmee het kinderspel is om Apache webservers plat te leggen. Apache is de populairste webserver voor het hosten van websites en wordt door talloze bekende sites gebruikt. Slowloris, zoals de tool heet, houdt alle verbindingen open door gedeeltelijke HTTP requests te sturen. De server wacht tot de volledige header binnenkomt, maar Slowloris stuurt die niet en blijft de nep-headers sturen, die de verbinding openhouden. Hierdoor raakt de webserver uiteindelijk overbelast en is er sprake van een Denial of Service.
Volgens Robert "RSnake" Hansen die de tool ontwikkelde, zijn met name servers met threading kwetsbaar. Dit komt omdat ze de hoeveelheid threading die ze toestaan proberen te beperken. De DoS-tool moet wachten totdat alle sockets beschikbaar zijn, voordat die ze allemaal in beslag kan nemen. In het geval van een druk bezochte website kan het dus even duren voordat dit het geval is. Slowloris is verder van een aantal stealth features voorzien. Zo kan het verschillende host headers sturen, in het geval het doelwit een virtuele host is en de logs apart per virtuele host worden opgeslagen. Als de aanval echter plaatsvindt, worden de logs pas geschreven als de request is voltooid. "Het is dus mogelijk om een server voor minuten uit de lucht te halen, zonder dat het log wordt bijgewerkt om iemand te waarschuwen."
Scriptkiddies
Hansen krijgt het verwijt dat hij hiermee een "leger van scriptkiddies" bewapent. De onderzoeker ontkent dat. Het probleem is namelijk de manier waarop Apache werkt. Volgens het Internet Storm Center, dat bewust niet naar de pagina van Hansen linkt, zijn er geen instellingen in Apache die de aanval voorkomen. Het verhogen van MaxClients maakt het alleen iets lastiger voor een aanvaller. Wie voor zijn webserver de Perlbal reverse proxy neerzet zou de aanval echter kunnen afslaan.
Hansen hoopt dat ontwikkelaars beter gaan nadenken over de architectuur van webservers. Met name als het gaat om het "verwachte" gedrag van de webserver. Daarnaast zou er een standaard configuratie moeten zijn om tegen dit soort aanvallen bescherming te bieden. "Als het geen probleem is, dan maakt het ook niet uit als scriptkiddies het hebben, niet waar? Of het nu wel of geen groot probleem is, het is de moeite waard om erover te praten, aangezien de aanbevelingen van Apache waardeloos zijn." Beheerders van een IIS-webserver hoeven zich geen zorgen te maken, Microsoft's webserver is niet kwetsbaar voor de aanval.
En nu niet gaan testen he!
Ik ga wat oplossingen in gebruik nemen die het moet proberen te verkomen.
Dit houd in dat een X aantal connecties een BAN krijgt.