Essa pergunta parece brincadeira, mas essa semana, no final de um curso de Pentest ministrado remotamente, foram discutidas algumas formas e ferramentas utilizadas para realização de ataques DDoS.

A distribuição de segurança usada pelo pessoal que assistia/fazia a aula era o BackTrack. O instrutor indicou aos alunos o local para download das ferramentas que foram o LOIC – velho conhecido e utilizado pelos ataques realizados pela galera do anonymous, C4, T50 – criado pelo Nelson Brito e o Slowloris.

Eram quase 10 pessoas realizando os testes e foi solicitado um alvo, eis que eu indico o próprio blog – Coruja de Ti. O pessoal instalou ad dependências para o LOIC, ajustou alguns pontos e apontou o blog como alvo. Teste inciado. O blog ficou lento depois de alguns segundos, mas não ficou indisponível.

O fato é que o LOIC não é uma das mais poderosas ferramentas para ataques DDoS, diga-se de passagem. Depois deste primeiro teste, foi a vez do Slowloris, e aí que a brincadeira começou. O mesmo processo foi executado, download, configuração, apontar o alvo e fogo.

Após poucos segundos usando o Slowloris o meu blog ficou fora do ar. 🙂 Vejam que foram umas 6 pessoas testando ao mesmo tempo, todas com links que não passavam de seus 10 MB. Convenhamos que o Coruja de TI não possui uma super banda ou servidor dedicado – recebo um pouco mais de 2.000 acessos/dia, mas e se apontássemos para um blog com mais de 300.000 acessos/dia ? Será que surtiria efeito, mesmo com 6 usuários com os seus míseros 10Mb/s de banda – média?

A resposta foi sim, o alvo ficou fora do ar logo após o início dos testes e comprovou que o Slowloris é uma baita ferramenta. Vejam que em nenhum momento eu utilizei os superpoderes conferidos a mim pelo meu link de 100Mb/s.

Boa parte dos sites e empresas brasileiras não precisam receber um ataque de milhares de botnets para passarem por problemas de estabilidade, para causar problemas é preciso de alguém com má intensões, um micro uma conexão internet e um programinha como o Slowloris, além é claro dá má configuração dos servidores Web.

Não se esqueçam de um importante detalhe, não utilizamos IP spoofing, então era possível rastrear e bloquear o ip dos atacantes e tudo aqui foi feito para fins educacionais em.

Compartilhar:

Este post tem 13 comentários

  1. Gabriel francisco

    No site do criador do slowloris, se não me engano, uma versão mais nova do mod_security seria eficaz contra o slowloris, não testei.

  2. Chaves

    E o resultado com o t50?

    Depois da uma corrigida no artigo, teve alguns erros de digitação como BakcTrack.

  3. biOos

    Pois é Gustavo. O Slowloris é uma boa ferramenta mas também muito fácil de bloquear. Uma simples regra de iptables (por exemplo) para limitar tantas requisições por minuto e/ou segundos e acabou o ataque. O T50 me parece mais interessante por forjar a origem. Embora com um loop em while|for com o hping, também forjando a origem dá para derrubar um site.

    ./flw

  4. Anderson

    Queria ver o resultado com T50…

    \o/

  5. Victor Garcia

    O Gustavo digitou correndo porque o estagiario tava chamando ele AHSEUASHEASUEHASUEHASUEASe faltou ai o resultado com o T50 🙂
    Mas mt bom, o LOIC eh bom pra se alguem te encomoda e tu qer fazer cair ou deixar lenta a internet do infeliz, mas eh soh isso mesmo 🙂

  6. Luiz Vieira

    Valeu por ter citado os testes aqui no blog 🙂

    Galera, infelizmente não tivemos tempo de testar o T50, mas isso de repente pode rolar em algumas das próximas aulas e o Gustavo informa por aqui.

    [ ]’s

  7. Anderson

    Se precisa do meu link ta disponivel kkkk

  8. bruno

    muito bom mesmo, é sempre interessante ver esse tipo de post com resultados dos testes com ferramentas novas 😉

  9. Thiago

    Diga ai pra gente esse curso de Pentest que vc está fazendo via EAD é bom ? e de que instituição ? depois coloca sua opinião aí se vc indica,
    ficamos no aguardo do test do T50 tb 🙂
    vlw abs.

  10. Gustavo Lima

    é bom pois o instrutor possui sólidos conhecimentos na área e isso faz toda a diferença..

  11. Carlos Alexandre

    Estou só aguardando vou fazer esse curso com ele também e só tenho ouvido ótimas referências.

  12. Thiago

    O instrutor do curso por acaso seria o Rafael Ferreira ?

  13. Gustavo Lima

    O instrutor do curso que eu fiz foi o Luiz Vieira.

Deixe uma resposta