Há alguns anos existe uma teoria quanto a possibilidade da execução de ataques DoS ou DDoS na camada de Aplicação, a sétima camada do Modelo OSI. É de conhecimento de muitos que ataques deste tipo são direcionados para quarta camada do Modelo OSI, a camada de transporte, como demonstrando na figura abaixo:

Todos as soluções anti-DDoS/DoS foram criadas para monitorar e proteger a camada de transporte.

E se tivermos um ataque em uma camada superior, como a Camada 7 de Aplicação ?

Será que a teoria é verdadeira ?

Vejam que o ataque poderá ser direcionado ao protocolo HTTP, o mais utilizado em toda a Internet, o que fazer para se proteger deste ataque ?

Várias analistas de segurança em todo mundo já apontaram ataques DoS ou DDoS direcionados a camada de aplicação, e devido a estes ataques, soluções como a implementação de um Web Application Firewall auxiliam na prevenção e na defesa deste tipo de ataque

Voltando aos ataques DDoS voltados a Camada de Aplicação do Modelo OSI, já existem ferramentas que possibilitam a execução de ataques HTTP DoS, tanto GET quanto POST, um exemplo é o R.U.D.Y.(R-U-Dead-Yet,or R.U.D.Y) que possui uma console para configurar o tipo de ataque e aceita conexões SOCKS 4 – Você pode configurar um proxy para utilizar com ele. As features desta ferramenta são:

  • Concurrent connections using parallel processes enables multi-cpu optimization – imaginem esse cara rodando de uma máquina com 24Core -hehehe
  • Automatic form and field detection to ease users selection of attack vectors
  • Interactive text menu allows almost anybody to fire up R.U.D.Y
  • SOCKS4 proxy support allows usage of proxies such as Tor for dynamic IP migration
  • Cookie detection and usage guarantees session persistence across connections

O mais interessante referente a este tipo de ataque, HTTP DoS, é que é possível um ataque desse utilizando pouca banda, isso tudo vai depender do método do ataque, se o site, no caso o servidor Web (IIS, Apache, SunOne…) está vulnerável e os seus conhecimentos para a execução. Isso até pouco tempo era uma teoria que se demonstrou verdadeira e no final foi criada uma ferramenta capaz de realizar este tipo de ataque, o Slowloris HTTP DoS.

O vídeo abaixo ensina como utilizar o Slowloris HTTP Dos que é uma ferramenta focada nos Apaches mal configurados que existem espalhados pela Internet, há também um  passo a passo detalhado de como utilizar este cara para Windows e MAC neste link.

E para se defender deste tipo de ataque, o que você pode fazer ?

Para sorte de alguns e azar de outros, o IIS não é vulnerável a este tipo de ataque. Empresas que possuem Load Balance como o BIG-IP da F5 ou Cisco ACE podem ficar despreocupadas, este equipamentos monitoram o timeout das conexões, tendo algo de errado, a origem recebe um TCP Reset.

Já para aqueles que não possuem tantos recursos financeiros podem implementar um proxy reverso ou um mod de segurança no Apache, seja o mod_antiloris ou o mod_security. O gráfico abaixo explica como o mod_security protege um apache de um ataque HTTP DoS:

Um parâmetro simples que deve ser configurado nos HTTP server para não ser vulnerável a este tipo de ataque é quanto a configuração do limites de timeout do HTTP headers.

Mais informações sobre HTTP DoS ataques podem ser lidas neste documento da OSWAP