image

HULK DoS-tool verplettert webservers

zondag 20 mei 2012, 08:47 door Redactie, 8 reacties

Een zelfbenoemde 'Nerd' en beveiligingsonderzoeker heeft een DoS-tool ontwikkeld om webservers mee plat te leggen. Volgens Barry Shteiman is het probleem met veel bestaande programma's die een Denial of Service (DoS) moeten veroorzaken, dat ze een voorspel patroon genereren. Daardoor is het mogelijk om een aanval te detecteren en af te slaan. Shteiman besloot voor onderzoeksdoeleinden zijn kennis van DoS-tools te gebruiken om de Http Unbearable Load King (HULK) te ontwikkelen.

Elke 'request' die HULK genereert en naar de webserver stuurt is uniek. Daardoor woorden 'caching engines' omzeild en krijgt de webserver de volle lading te verduren. "Mijn testserver met 4GB geheugen en Microsoft IIS7 was binnen een minuut door alle requests van één host platgelegd", aldus de onderzoeker.

THOR
Beveiligingsonderzoekers van Trustwave SpiderLabs stellen dat HULK vanwege de manier waarop het de requests ordent nog steeds te herkennen is. Daarom werd besloten om HULK tegen THOR te testen. THOR (Thumping Http Obvious Requests) is een ModSecurity rules profiel om herkenbare patronen van HULK te blokkeren. En dat blijkt goed te werken, want THOR weet HULK al na 10 requests te stoppen.

Reacties (8)
20-05-2012, 10:19 door [Account Verwijderd]
[Verwijderd]
20-05-2012, 12:51 door Erik van Straten
Door Hugo: De Hiawatha webserver (http://www.hiawatha-webserver.org/) is ontwikkeld om o.a. dit soort prutsaanvallen af te slaan.
Kan Hiawatha als reverse proxy op een Windows server vóór IIS worden geïnstalleerd en zo deze aanvallen afslaan?

Helemaal interessant zou het zijn als je Hiawatha als WAF (Web Application Firewall) zou kunnen inzetten (zoals Apache met mod_security en de OWASP "Core Rule Set"). Bij SSL/TLS verkeer zal Hiawatha dat verkeer natuurlijk eerst moeten decrypten alvorens er gefilterd kan worden.
20-05-2012, 13:04 door [Account Verwijderd]
[Verwijderd]
20-05-2012, 14:59 door Erik van Straten
Door Hugo: Nog niet. Maar heel toevallig bevat de volgende versie, die binnen enkele dagen uitgegeven zal worden, reverse proxy functionaliteit. Dan zou je inderdaad Hiawatha als WAF voor IIS kunnen plaatsen om deze aanval, en een boel andere, af te slaan.
Da's mooi, dank voor al jouw inspanningen voor deze open source webserver!
21-05-2012, 07:45 door jaapd
Een server met 4GB, toe maar.
Zouden er ook echt productieservers draaien met selchts 4GB intern geheugen?
Als je een test doet, doe het dan goed.
21-05-2012, 08:19 door MK001
@jaapd:

Zeker wel. Voor een webserver met "normaal" verkeer is 4GB meer dan zat in de meeste gevallen. Behalve als je echt zware webapplicaties draait of zeer veel (concurrent) gebruikers hebt.
21-05-2012, 08:55 door [Account Verwijderd]
[Verwijderd]
21-05-2012, 09:06 door Anoniem
Ik heb het even geprobeerd, werkte niet echt goed... die slowread aanvallen werken een stuk beter.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.