ALERTA DE SEGURANÇA: DPS VIA HTTP POST

Pessoal,

nesses últimos dias estive estudando (projeto da especialização) uma nova modalidade de DoS que ainda será um grande desafio para os especialistas de segurança. De que se trata? Antes de qualquer coisa devemos relembrar a arquitetura OSI: http://pt.wikipedia.org/wiki/Modelo_OSI.

Antigamente as modalidades de DoS exploravam bugs existente em protocolos da camada de transporte (4º do OSI), atualmente (2009 - atual), surgiram novas modalidades de DoS que exploram a camada de aplicação (7º do OSI), e quando chega nesse nível amigo o bicho pega. 

A eficiência nesse tipo de ataque se dá principalmente pelo fato de que conexões UDP ou TCP são legitimas, o ataque precisa enviar menos conexões para derrubar o serviço e por que atinge o limite de recursos do serviço mesmo que haja grande poder de hardware. Existem algumas modalidades de DoS na camada 7, porem vou tratar apenas do HTTP POST.

HTTP POST DoS ATACK

Foi descoberto em 2009 por esse cara aqui: Wong Onn Chee e sua equipe.

Como o próprio nome sugere, o ataque usa HTTP POST. Nesse caso o campo “Content Length” no HTTP Header diz ao servidor Web o quão grande será o corpo da mensagem, por exemplo: “Content-Length = 100”. Então o HTTP Header é enviado com o máximo de tamanho para o servidor via post, e isso é transparente para qualquer sistema de proteção. O perigo do ataque é justamente por que o servidor vai esperar o campo “Content Length” até poder receber o resto da mensagem, isso é feito para que os servidores Web possam atender a usuários com conexão lenta ou intermitente:

Principais características:

• Dificuldade pra se identificar conexões que estão fazendo o ataque de conexões que são simplesmente lentas.
• Esse tipo de ataque se esquiva de detecções feitas em alguns sistemas na 4º camada;
• Mesmo que por padrão, Servidores IIS não tenham número máximo de conexões, o servidor vai cair com 20.000 conexões de negação de serviço HTTP e como tinha falado isso é independentemente da capacidade do hardware
• Praticamente todos os sites que tem “forms” e que usa na form o método POST para enviar os dados são suscetíveis a ataques.
• Servidores Apache precisam de menos conexões para ser derrubados, devido ao limite de clients ou threads no httpd.conf.
• Servidores IIS 6.0 é vulnerável mesmo sem haver alguma form no site, ISS 7 e adiante precisa da presença se form.
• Tamanho, tipos de caracteres e tempo podem ser randomizados, visando a não detecção por sistemas anti-DoS que atuam na camada de aplicação.

Soluções para minimizar o risco:

• Apache: mod_reqtimeout e LimitRequestBody directive.
• Estabelecer uma velocidade mínima para o acesso, isso com base na média de velocidade que os usuários do site têm.
• IIS: nenhuma resposta da Microsoft quanto a possíveis proteções. Ficamos no aguardo.
• Limitar o tamanho máximo que cada requisição/envio via post pode ter.

É importante ressaltar que a Microsoft e a Apache já reconheceram que é realmente um bug no protocolo, porém a Apache disse que essa falha é conhecida, mas é uma falha de protocolo e não do software e a Microsoft reconheceu também que era uma falha, mas que não tem planos de lançar uma correção (patch) para isso.

Atenção: desde que esse tipo de ataque foi descoberto já foram lançadas duas ferramentas.

OWASP HTTP Post Tool

r-u-dead-yet (RUDY)

[]'s 

--

Gleudson Junior
Currículo: http://lattes.cnpq.br/9478031232169111
Fones: +55 81 9434-5060 / +55 86 9426-4654
Msn: gleudson_jr@hotmail.com
My WebPage: http://www.gleudsonjunior.blogspot.com/ About Linux: http://www.gleudson.blogspot.com/ - http:/ www.voolivrelinux.blogspot.com/

--
"Estou procurando um lugar que precise de muitas reformas e consertos, mas que tenha fundações sólidas. Estou disposto a demolir paredes, construir pontes e acender fogueiras. Tenho uma grande experiência, um monte de energia, um pouco dessa coisa de 'visão' e não tenho medo de começar do zero."