Slow-Read DoS attack - .:: HVAOnline ::.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Slow-Read DoS attack

[Discussion] Slow-Read DoS attack	07/01/2012 12:14:17 (+0700) \| #1 \| 252028

shuichi_akai
Elite Member

Joined: 12/10/2003 10:40:06
Messages: 161
Location: /home
Offline

Qualsys Security Labs researcher Sergey Shekyan has created a proof-of-concept tool that could be used to essentially shut down websites from a single computer with little fear of detection. The attack exploits the nature of the Internet's Transmission Control Protocol (TCP), forcing the target server to keep a network connection open by performing a "slow read" of the server's responses.

The Slow Read attack, which is now part of Shekyan's open-source slowhttptest tool, takes a different approach than previous "slow" attacks such as the infamous Slowloris—a tool most notably used in 2009 to attack Iranian government websites during the protests that followed the Iranian presidential election. Slowloris clogs up Web servers' network ports by making partial HTTP requests, continuing to send pieces of a page request at intervals to prevent the connection from being dropped by the Web server.

Slow Read, on the other hand, sends a full request to the server, but then holds up the server's response by reading it very slowly from the buffer. Using a known vulnerability in the TCP protocol, the attacker could use TCP's window size field, which controls the flow of data, to slow the transmission to a crawl. The server will keep polling the connection to see if the client—the attacker—is ready for more data, clogging up memory with unsent data. With enough simultaneous attacks like this, there would be no resources left on the server to connect to legitimate users.

Shekyan said in his post about the tool that this type of attack could be prevented by setting up rules in the Web server's configuration that refuse connections from clients with abnormally small data window settings, and limit the lifetime of an individual request.

Không nhất thiết phải phang nhau với tốc độ ánh sáng, thú vui bây giờ khá là nhã: gửi TCP header đàng hoàng nhưng TCP payload không chứa data khiến target server hết connnection để phục vụ.

References:
http://arst.ch/s1d
http://www.kb.cert.org/vuls/id/723308

[Discussion] Slow-Read DoS attack	07/01/2012 13:52:18 (+0700) \| #2 \| 252038

jerrykun
Member

Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline

Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.

/hvaonline/posts/list/29851.html

Health, Knowledge, Family has the same value !

[Discussion] Slow-Read DoS attack	07/01/2012 17:36:40 (+0700) \| #3 \| 252045

shuichi_akai
Elite Member

Joined: 12/10/2003 10:40:06
Messages: 161
Location: /home
Offline

jerrykun wrote:

Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.

/hvaonline/posts/list/29851.html

Bạn nhầm với Slowloris rồi.

[Discussion] Slow-Read DoS attack	08/01/2012 05:16:28 (+0700) \| #4 \| 252059

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

shuichi_akai wrote:

jerrykun wrote:

Cái này đã được thảo luận cách đây hơn 2 năm rồi. =]]. requests mà chạy thẳng vào apache là website đơ luôn.

/hvaonline/posts/list/29851.html

Bạn nhầm với Slowloris rồi.

Đúng rồi. Dạng này khác slowloris. Slowloris cố tình làm thiếu escape char trong header để cho server không nhận được trọn bộ request. Trong khi dạng "slow-motion" này thì đã gởi request và đã sẵn sàng nhận response nhưng lại nhận cực chậm khiến cho server mất thời gian phục vụ các dịch vụ "chậm" này mà không còn đủ slot để phục vụ những requests khác.

Một cái là tấn công ở header trong việc gởi request, một cái là tấn công trong ở body trong việc nhận response.

What bringing us together is stronger than what pulling us apart.

[Discussion] Slow-Read DoS attack	08/01/2012 06:57:59 (+0700) \| #5 \| 252063

jerrykun
Member

Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline

Hì Hì.. đọc kỹ nhận ra 1 điểm chung là cả hai phương thức là đều cố giữ connection và tăng cường tạo thêm connection mới và hệ quả out of resource tại máy chủ :=]]

Health, Knowledge, Family has the same value !

[Discussion] Slow-Read DoS attack	08/01/2012 13:19:02 (+0700) \| #6 \| 252078

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Đây là một chủ đề rất hay để khai triển biện pháp phòng chống trên tầng IP và tầng ứng dụng. Anh em nhào vô đi smilie

What bringing us together is stronger than what pulling us apart.

[Discussion] Slow-Read DoS attack	08/01/2012 21:46:07 (+0700) \| #7 \| 252089

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Em thấy bài viết này có hình thành 1 vài cách chống tuy chưa đọc xong nhưng em chỉ toàn thấy nó viết tips theo hướng cấu hình tinh chỉnh lại như Apache, Nginx,..
https://community.qualys.com/blogs/securitylabs/2011/11/02/how-to-protect-against-slow-http-attacks

Anh conmale có ý kiến gì thêm về loại tấn công này (về hướng phòng thủ) để cho mấy "em út" hình dung rõ ràng hơn smilie

Tối nay mạng ở nhà cùi quá, chắc sáng mai mới thử nghiệm được nó để "hình dung" ra nó gây tổn hại gì . smilie

[Discussion] Slow-Read DoS attack	09/01/2012 08:24:01 (+0700) \| #8 \| 252102

Ikut3
Elite Member

Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline

Modsecurity 2.6 có functions SecWriteStateLimit có thể hạn chế được kiểu tấn công này.

http://blog.spiderlabs.com/2012/01/modsecurity-advanced-topic-of-the-week-mitigation-of-slow-read-denial-of-service-attack.html

[Discussion] Slow-Read DoS attack	11/01/2012 21:00:46 (+0700) \| #9 \| 252275

nkrrl
Member

Joined: 07/01/2010 08:12:39
Messages: 11
Offline

Một số đặc điểm cơ bản của TCP để phân biệt với UDP:

Truyền dữ liệu không lỗi (do có cơ chế sửa lỗi/truyền lại)
Truyền các gói dữ liệu theo đúng thứ tự
Truyền lại các gói dữ liệu mất trên đường truyền
Loại bỏ các gói dữ liệu trùng lặp
Cơ chế hạn chế tắc nghẽn đường truyền

Ở hai bước đầu tiên trong ba bước bắt tay, hai máy tính trao đổi một số thứ tự gói ban đầu (Initial Sequence Number -ISN). Số này có thể chọn một cách ngẫu nhiên. Số thứ tự này được dùng để đánh dấu các khối dữ liệu gửi từ mỗi máy tính. Sau mỗi byte được truyền đi, số này lại được tăng lên. Nhờ vậy ta có thể sắp xếp lại chúng khi tới máy tính kia bất kể các gói tới nơi theo thứ tự thế nào.
Trên lý thuyết, mỗi byte gửi đi đều có một số thứ tự và khi nhận được thì máy tính nhận gửi lại tin báo nhận (ACK). Trong thực tế thì chỉ có byte dữ liệu đầu tiên được gán số thứ tự trong trường số thứ tự của gói tin và bên nhận sẽ gửi tin báo nhận bằng cách gửi số thứ tự của byte đang chờ.

Nếu như máy Client vẫn nhận dữ liệu và gửi ACK theo quy định để nhận dữ liệu tiếp theo--> mà quá trình này được làm chậm lại?

[Discussion] Slow-Read DoS attack	05/02/2012 10:43:14 (+0700) \| #10 \| 253159

CutiVNPT
Member

Joined: 20/01/2011 02:15:51
Messages: 2
Offline

Nếu k lầm thì cái này có từ khá lâu rồi.Tool Goodbye V5.2 do Puride cung cấp cho phép tấn công theo dạng này.

[Discussion] Slow-Read DoS attack	24/02/2012 16:12:49 (+0700) \| #11 \| 255085

bebeka
Member

Joined: 31/05/2009 02:19:51
Messages: 2
Offline

Theo như mình hiểu thì Slow read dos khai thác lỗ hổng CVE-2009: TCP/IP Orphaned Connections Vulnerability. Minh thấy Microsoft cũng đã công bố các bản update, trong đó có nói là Windows 7 32 bit và Windows Server 2008 R2 64 bit thì không bị những lỗi này.
http://technet.microsoft.com/en-us/security/bulletin/MS09-048
Mình tò mò thử tấn công với IIS 7.5 trên Windows 7 và Apache 2.2 trên Windows Server 2008 R2 64 bit thì dịch vụ web bị DOS chỉ sau tầm 5 giây tấn công.
Tuy nhiên nếu tấn công vào IIS 7.5 trên Windows Server 2008 R2 64 bit thì chả bị hề hấn gì.
Mình không hiểu tại sao lại có sự khác nhau này nữa?

Go to:

Users currently in here
1 Anonymous