Заплахи към уеб приложения – DoS атака

Накратко: DoS атаките са вид заплаха, насочена към спирането на работата на уеб приложения и устройства чрез претоварване с голям обем трафик или некоректни заявки. Те се класифицират на атаки към приложния и мрежовия слой и често се извършват с цел материална облага.

Автор: Цветелина Николова

С увеличаване броя и използването на уеб приложения, респективно се развиват и атаките насочени към тях. Докато преди неправомерните действия са били по-скоро с цел самодоказване и любопитство, то днес злоупотребите са по-често с цел материални облаги. Лицата, позволяващи си подобни действия спадат към групата „черни шапки“ (компютърен престъпник, който прониква незаконно в компютри и системи) и действията им подлежат на наказание. Законите свързани с кибер-сигурността продължават да се допълват и по този начин да обхващат все повече случаи на посегателство към онлайн информацията.

Статистика, публикувана от Verizon (американски мултинационален телекомуникационен конгломерат и корпоративен компонент на Dow Jones Industrial Average) за 2017 година показва, че броят на атаките е значително нараснал и обобщава данните както следва:

Също така Verizon обобщава и най-използваните похвати за атаки насочени към уеб приложения:

От графиката се вижда, че най-често атаките се осъществяват чрез откраднати данни. Също така, социалните атаки, зловредният софтуер и програмни/конфигурационни грешки са сред популярните инструменти.

В поредицата „Заплахи към уеб приложения“ ще бъдат разгледани част от тези похвати.

DoS (Denial-of-Service) атака

DoS атаките не целят неоторизиран достъп до услуги, данни или отдалечен контрол, а спиране на работата на даден процес или устройство.

DoS атаките могат да се класифицират в две основни групи:

  • Насочени към приложни протоколи (application layer attacks) – най-често тяхното действие се свежда до генериране на голям обем от заявки към даден сървър или създаване на такива с грешен формат, водещи до значително увеличаване на работното натоварване на целта. Оценката на натоварването най-често е на базата на броя заявки в секунда (requests per second);
  • Насочени към мрежовите протоколи (network layer attacks) – в тази група са включени атаки, насочени към протоколи като TCP, UDP и такива, свързани с маршрутизирането на трафика. Типични примери са „UDP Flood“, „TCP SYN Flood“, „DNS Amplification“ и други. Много често при генерирането на голям обем от мрежови пакети дадени устройства могат да спрат своето функциониране. Въпреки че е регистриран зловреден трафик от над 200 Gbps, дори 20 Gbps до 40 Gbps могат да бъдат достатъчни за претоварване на мрежови сегменти и ефективен отказ на услуги.

Мотивите за подобен тип атака могат да бъдат различни (кибер вандализъм, изнудване, хактивизъм, личностно съревнование, бизнес интереси, кибервойна и други), но най-често използваните инструменти са готови и налични, а тяхното действие се активира към целта, без да се навлиза в подробности за принципа на тяхната функционалност.

Принцип на действие на DoS
Принцип на действие на DoS

Инструмент Slowloris

Този инструмент е предназначен за DoS атаки. Slowloris е вид „HTTP DoS“ атака, която е подобна на подхода „TCP SYN Flood“, при който атакуващата система стартира изграждането на множество TCP с целта, но не завършва с процеса „3-way handshake“ (трипосочна процедура за установяване на връзка между хостовете). По този начин, след определен брой заявки, се изчерпват ресурсите на атакувания хост. Разликата е, че Slowloris изчерпва ресурсите само на HTTP сървърния софтуер, чрез незавършване на GET заявката – при определени софтуерни продукти изпращането на отговор изисква пълното ѝ получаване.

Засегнати сървъри са:

  • Apache;
  • dhttpd;
  • WebSence “block pages”;
  • Други.

Незасегнати сървъри са:

  • Microsift Internet Information Services (IIS);
  • lighttpd;
  • Squid;
  • NGINX;
  • Други.

Причината определени сървъри да са уязвими е интегрираната функционалност, при която сървърът изчаква получаването на цялата HTTP заявка. HTTP сесията завършва с ASII символите CL (carriage return) и LF (line feed), но при slowloris сесията не завършва.

Скриптът на slowloris е достъпен в интернет пространството и се стартира лесно през конзолата.

Символи, генерирани при Slowloris атака
Символи, генерирани при Slowloris атака

Силните страни на slowloris са трудното му засичане от специализирани защитни системи като IDS/IPS, както и фактът, че при прекратяване на атаката, нормалната работа на HTTP сървъра бързо се възстановява.

Живейте по-добре с наука!

  • Развийте критично мислене и изградете защита срещу дезинформация.

  • Придобийте ключови умения за по-добър живот с нашите курсове във формат текст, видео и аудио.

  • Открийте новостите и иновациите в медицината.

  • Само 3 минути дневно са достатъчни, за да трансформирате живота си!

  • Всеки месец ви очаква нов брой с увлекателни статии по биология, космос, технологии, история, медицина и много други.

Изживейте науката навсякъде и по всяко време, като я четете на най-удобното за вас устройство.

 
Годишен абонамент
ВИЖ ПОВЕЧЕ
  • Безкрайно знание - списание, видеа, аудио, книги и т.н.
  • Достъп от всякъде
  • Социална мрежа за знание с хора като вас.

Създадохме платформа, която предлага курсове и ръководства, насочени към решаването на житейски предизвикателства чрез научно обосновани методи. Тя не само подпомага личностното развитие, но и предоставя ценни знания за водене на по-здравословен, успешен и пълноценен живот. Благодарение на научния подход, потребителите ще имат възможност да подобрят своето благосъстояние и да постигнат по-високо качество на живот.

БГ Наука
Powered by  GDPR Cookie Compliance
Правила на поверителност

Използваме „бисквитки“, за да персонализираме съдържанието и рекламите, да предоставяме функции на социални медии и да анализираме трафика си. Също така споделяме информация за начина, по който използвате сайта ни, с партньорските си социални медии, рекламните си партньори и партньори за анализ.

Можете да коригирате всички настройки на „бисквитките“, като отворите разделите вляво.