mitigante DOS anonimo (tor combinato con piloris)

sarepta: Per iniziare, sono l'autore di PyLoris , quindi ho fatto una buona quantità di ricerche su questo. In effetti, l'attacco che hai immaginato è uno che ho codificato in modo specifico durante lo sviluppo di PyLoris - la versione attuale viene fornita in bundle con un'app helper tor_switcher.py che indirizza l'attacco attraverso più nodi di uscita Tor.

L'unico buon modo per rilevare un'inondazione basata su Tor è controllare gli indirizzi IP di origine contro i nodi di uscita Tor noti. Questo è banale con la blacklist o plugin come mod_security. Nella mia ricerca, mod_antilors non impedisce il vettore PyLoris + Tor poiché è basato sull'indirizzo IP. La mia scelta personale per prevenire questo attacco è di utilizzare qualsiasi server diverso da Apache per gestire le connessioni dirette da Internet. Ciò potrebbe significare l'utilizzo di un proxy inverso come Varnish per inviare richieste o passare a qualcosa come nginx per il tuo server web.

Oltre a ripensare la tua infrastruttura, ritengo che una combinazione di timeout bassi, limiti di connessione IP, velocità minime di trasferimento dati, limiti massimi di tempo di connessione e dimensioni massime delle richieste possano fornire una protezione adeguata da questa forma di attacco. Dico tutto questo con la dichiarazione di non responsabilità che non c'è modo di prevenire questa forma di attacco, e che queste configurazioni dovrebbero essere pensate accuratamente per valutare il loro impatto su base per server.

Per contrastare l'asserzione di Tom Leek che Tor non è un modo efficiente per eseguire attacchi di tipo Denial of Service, PyLoris e SlowLoris sono attacchi a livello di applicazione e non si basano su una larghezza di banda travolgente. In effetti, i metodi estenuanti di connessione come quello usato da questi sono una delle poche tecniche che funzionano in ambienti con limitazione (vedi l'uso di Slow / PyLoris nella rivoluzione verde iraniana). Al picco di un attacco * loris, un server probabilmente subirebbe meno di 1kbps di traffico.

Per contrastare il ragionamento di DW, una delle principali funzioni di vendita di Pravail APS è stata la capacità di impedire PyLoris e SlowLoris (esplicitamente dichiarato nei loro opuscoli precedenti). Questo metodo di attacco è meno diffuso rispetto ai flussi HTTP standard come LOIC, ma solo perché è una tecnica molto più difficile da utilizzare correttamente.

Ho trascorso molto tempo la scorsa settimana analizzando un grosso attacco che è stato pranzato contro i miei server. L'attacco è stato pranzato da una rete botnet che era molto facile da bloccare. In effetti il mio firewall l'ha bloccato automaticamente.

Il secondo attacco è stato fatto di richieste http inviate tramite TOR. All'inizio ho scaricato la lista TOR degli indirizzi IP (da qui link ) e li ho bloccati tutti poi I analizzato i pacchetti e scoperto che condividono molte somiglianze con i flag e sono stato in grado di bloccare i pacchetti in base al flag.

Spero che questo aiuti.

Usa le difese standard contro l'attacco di Slowlaris.

Tor non è probabile che sia uno strumento di attacco efficace. È altamente limitato in termini di velocità e l'attaccante non sarà in grado di inviare molti pacchetti di attacco attraverso di esso. Non me ne preoccuperei troppo.

È importante tenere presente che questo attacco è intrinsecamente rilevabile. Ciò significa che, se ti capita, sarà facile per te rilevare. Significa anche che se accadesse agli altri di frequente, ne sentiremmo parlare. Il fatto che questo tipo di attacco non sia ampiamente riportato da altri indica che questo probabilmente non è un attacco ad alta priorità di cui devi preoccuparti molto.

Se qualcuno vuole montare un attacco DOS contro il tuo sito web, è più probabile che utilizzeranno metodi a bassa tecnologia, come cercare di inondare la tua connessione di rete con tonnellate di pacchetti. Quindi concentrati sulla difesa contro i rischi più probabili. Ad esempio, organizzare un CDN o un sito di hosting in grado di resistere a un simile attacco DOS. (Ciò aiuterà anche contro Slowloris, come vantaggio collaterale.) Per i siti di piccole dimensioni, potresti guardare CloudFlare o i concorrenti.

Vedi anche Come difendersi meglio contro un attacco DOS "slowloris" contro un server web Apache? e Guida all'attenuazione del DOS di Slowloris e mod_antiloris .

Tor non è un modo efficace per eseguire attacchi Distributed Denial of Service . Tor diffonde le richieste attraverso un numero di relè, ma non c'è amplificazione. Qualcosa che esce dalla rete Tor è dovuto entrare in qualche momento. Un attaccante solitario con il suo PC, cercando di sommergere il tuo server con un'infinità di richieste, dovrà prima ottenere le sue richieste dal suo PC, attraverso il suo ISP. Prima fallirà.

Tor è bravo a nascondere la fonte ma non è una botnet . Per eseguire un DoS sovraccaricando un server con molte richieste, l'utente malintenzionato deve essere in grado di inviare un sacco di richieste, il che implica l'utilizzo di un server più grande del tuo (in particolare la larghezza di banda della rete) o utilizzando molte macchine che parlano al tuo server attraverso loro connessioni di rete (da cui la prima D in DDoS).