d0z.me – scurtatorul de URL-uri al atacurilor DDOS
9Daca in urma cu ceva timp discutam de atacurile DOS lansate de The Jester asupra Wikileaks, astazi vom discuta de o noua modalitate de a face atacuri DDOS extrem de puternice.
In urma cu cateva zile, a fost lansata o aplicatie care a fost folosita la atacurile voluntare date asupra serverelor e-banking precum ebay, mastercard samd. Aplicatia, denumita, JS LOIC avea un concept foarte simplu de lucru. Aplicatia altereaza de foarte multe ori adresele imaginilor, fortand astfel serverul sa faca foarte multe requesturi. Acest concept extrem de simplu poate fi pus in aplicare de aproape oricine cu ceva cunostinte in domeniu.
Datorita simplitatii care poate fi reconstituita si in browser, cineva s-a gandit ca aducerea aplicatiei online, ar demonstra cate implicatii pot avea astfel de atacuri. Asadar el a creat un scurtatator de URL-uri care abuzeaza de aceeasi tehnica. O data ce scurtezi un URL, aplicatia te va redirectiona catre serverul in cauza, dar incluzand si un iframe care reincarca imaginile serverului respectiv la nesfarsit. Interesant e ca aplicatia functioneaza in doua moduri. Daca dispui de un browser modern, acesta va folosi Web Workers si HTML 5 pentru a face requesturi nelimitat, in caz contrar va folosi tehnica explicata anterior cu imaginile.
Asadar, daca reusesti sa convingi suficient de multi oameni, poti duce la bun sfarsit un atac DDOS fara nici o implicatie aproape a atacatorului. Totusi, dezvoltarea ideii poate fi dusa mai departe. In mod teoretic, iframe-ul respectiv ar putea comunica cu un server care sa-i dea comenzi (tinta, intensitatea samd). Singurul dezavantaj al acestei metode e ca necesita prezenta utilizatorului (voluntar mai mult sai mai putin) online. Daca respectivul va inchide browserul, el practic va disparea din „resursele” atacului.
Din pacate, aplicatiile DDOS devin din ce in ce mai populare iar serverele mici si medii pot fi date jos relativ rapid pentru ca nu sunt pregatite pentru asa ceva. Solutii? Putine. Cred ca trebuie sa migram in cloud.
@Andrei:
Cred ca era mai corect spus DoS nu DDoS, in ciuda faptului ca url-ul respectiv poate ajunge la multe persoane care sa-l acceseze.
„O data ce scurtezi un URL, aplicatia te va redirectiona catre serverul in cauza, dar incluzand si un iframe care reincarca imaginile serverului respectiv la nesfarsit.”
Un simplu CSF (daca folosesti linux) sau un firewall cu pf. daca folosesti FreeBSD, eventual un web server cu arhitectura dual-strat, te scapa de 95% din idioteniile de genul.
PS: Am observat la „Despre autor” titlul de Software Engineer – Este la misto, sau se da asa ceva la liceu acum ? Intreb ca as vrea si eu 🙂
@mandea Nu e chiar asa. Gandeste-te, ca tipul da DOS, dar directionand toate acele „iframe-uri” catre aceeasi tinta obtinem un atac DDOS.
Este „Slashdot effect” ; Request-urile http sunt legite, cu exceptia numarului de requesturi pe unitate de timp si incarcarea aceluiasi element static in mod repetat.
Slashdot effect: http://en.wikipedia.org/wiki/Slashdot_effect
Nu e aceeasi chestie. Din ce spune Wikipedia, site-ul care sufera nu este vizat ca tinta, ci se intampla acest lucru datorita linkuirii. Aici vorbim despre o unealta care ar putea fi programata sa foloseasca toti utilizatorii infectati pentru a pune jos un site -> DDOS.
Deci daca am o imagine a unui cd pe site-ul personal, si 2000 de oameni (rauvoitori) imi downloadeaza acel .iso in acelasi timp, se numeste DDoS ?:)
Daca scopul comun este cel de a face indisponibil un serviciu, supraincarcand cererea acelui serviciu, atunci raspunsul e da. 🙂
@mandea Nu e chiar asa. Gandeste-te, ca tipul da DOS, dar directionand toate acele „iframe-uri” catre aceeasi tinta obtinem un atac DDOS.
Este aceiasi mancare de peste ca si la traficul sustinut. Nu sunt pachete invalide, nu sunt alterate headerele, nu se trimit request-uri fara a astepta vreun raspuns.
Ca are ca scop intreruperea serviciului si ca sunt multe surse, putem sa-i spunem atac distribuit, el ca concept este doar trafic sustinut.
Am inteles ideea, nu iti place termenul DDOS.