Cos'è questa strana richiesta GET (GET / A0A32579-2767) DoSed my apache?

Naviga le tue risposte
4

Ho apache dietro nginx sul mio server web.

Oggi il mio apache smette di rispondere alle richieste. Le indagini mostrano questa situazione:

  1. Il numero di processi di apache cresce più di 500 ma MaxChildren=256 in config (ho mpm_itk, ho anche provato mod_prefork).

  2. lo stato del server mostra che 256 dei processi erano occupati e quasi tutti hanno offerto richieste come GET /A0A32579-2767-F346-A463-9EC16718D7E7/9FDAE968-8090-9C4F-8122-DCBEA5A9A8EC/from .

    La prima parte prima "/" era sempre uguale alla seconda e

  3. Secondo log di apache risponde a 404 a tali richieste.

  4. Dopo aver bloccato questa richiesta su nginx tutto diventa normale. Ma sono interessato a cosa era?

Ho 

Ubuntu 12.04.5  
apache-2.2.22-1ubuntu1.7  
php-5.3.10-1ubuntu3.1
    
posta iprok 02.11.2014 - 16:54
fonte

2 risposte

4

Dalla mia esperienza, sembra che tu fossi un DoSed con un attacco SlowLoris. Sembrerebbe che l'autore dell'attacco abbia tentato di recuperare una pagina inesistente e quindi abbia utilizzato SlowLoris che ha causato l'effetto DoS.

Essenzialmente, l'autore dell'attacco ha generato due GUID / UUID da 16 byte, li ha aggiunti insieme a / , quindi ha caricato il file indice di /GUID_1/GUID_2 . Quando il server ha iniziato a rispondere, l'applicazione dell'attaccante quindi rilesse i byte molto lentamente e quindi ha fatto sì che la connessione rimanesse aperta. Nel frattempo, molti altri thread probabilmente aprivano altre connessioni simultanee ed eseguivano lo stesso processo. Quindi ognuno dei thread dell'attaccante occupava 1 connessione sul server e il server non poteva rispondere ad altre connessioni perché stava ancora tentando di servire le connessioni dell'attaccante con l'errore 404.

Poiché questo è considerato un attacco di livello 7 ("Livello applicazione", vedi l'immagine sotto), un malintenzionato intelligente potrebbe utilizzare i proxy per impedire il tracciamento e il blocco IP.

Lamiglioresoluzionesarebbequelladibloccarel'indirizzo(ogliindirizziIP)degliattaccanti(ogliindirizziIPdeiproxyutilizzatidall'attaccante)el'installazionedialcunimodserveringradodirilevareeprevenirequestiattacchi.In questo articolo , ho letto che l'installazione di libapache2-mod-qos sul server impedirà SlowLoris sulle macchine Apache suscettibili.

Vale la pena notare che i server ISS di Microsoft non sono vulnerabili a un attacco GET HTTP incompleto SlowLoris; tuttavia, i server ISS sono vulnerabili agli attacchi HTTP POST "R-U-DEAD-YET" incompleti.

    
risposta data 02.11.2014 - 20:27
fonte
0

Questo è l'attacco loris lento di richieste HTTP GET incomplete.

Come proteggere il tuo server: Aggiorna il tuo server Apache, ci sono molti aggiornamenti per questo attacco, questo attacco è stato scoperto nel 2011 come. Altre opzioni sono per ridurre il timeout sul tuo server Apache, ecc. Questo attacco funziona al timeout. Qui ti spiega come proteggere Apache da DoS / DDoS (loris lenti inclusi) su Linux (fornisce aggiornamenti, mostra le impostazioni da modificare).

Qual è il loris lento? Il loris lento è un layer 7 Denial of Server (DoS, può essere eseguito con 1 computer) che è ampiamente utilizzato sui server Apache e altro, perché questi server se non aggiornato ha questo "bug".

Come funziona il loris lento? Il loris lento viene eseguito da una connessione TCP e quindi una richiesta GET HTTP incompleta viene inviata al server. Il server quindi non interrompe questa connessione per lunghi periodi di tempo fino a 400 secondi. Il server (come i server Apache) fa questo perché l'idea è, pensa che tu sia su una rete non fidata, o semplicemente rallenti internet e attenda il resto della richiesta HTTP GET.

Ulteriori informazioni: Questo è un DoS HTTP non un DoS TCP perché la richiesta è ciò che sta causando questo. Un attacco lento da loris può funzionare con l'invio di 1 pacchetto al secondo per ogni nuova connessione.

Esempi di come appare questa richiesta: 

GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0\r\n

o 

GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0

Esempio di normale richiesta HTTP GET: 

GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0\r\n\r\n
    
risposta data 17.04.2015 - 14:31
fonte

Leggi altre domande sui tag

Log di Apache, registrazione sospetta apach0day Crittografia e HMAC con la stessa password