Ataque de DDoS - Servidores Apache com Slowloris
today Postado em 30 de Nov de -0001

A negação de serviço distribuída (Distributed Denial of Service – DDoS) é uma tentativa de indisponibilizar um serviço online por sobrecarregá-lo com o tráfego a partir de múltiplas fontes. Eles têm como alvo qualquer sistema que esteja de frente a internet ou em sua rede local. Tornando um grande desafio para administradores de redes e especialistas em segurança da informação.

Realizar esse tipo de ataque dentro de sua rede é uma ótima maneira para testar as vulnerabilidades do seu ambiente.

OBS: Tome cuidado ao realizar, lembre-se que pode causar indisponibilidade em seu ambiente.

Os ataques do tipo DDoS mais comuns podem ser feitos devido algumas características do protocolo TCP. Uma forma de ataque por exemplo, é a SYN Flooding, onde um computador tenta estabelecer uma conexão com um servidor e acaba “inundando” esse Servidor que agora não é capaz de atender novas solicitações, gerando a indisponibilidade.

Realizando o Ataque

Para o laboratório desse ataque, vamos utilizar duas máquinas virtuais, ambas com o Debian 8 instaladas, mas você pode utilizar a distribuição que mais lhe agradar, em uma está instalada o serviço do Apache, realizamos a instalação default e isso é importante deixar claro, instalamos a última versão, mas apenas o Apache e o suporte ao PHP, essa é a instalação padrão que a maioria dos profissionais fazem, e por isso vamos mostrar o quanto é vulnerável, em um segundo artigo, iremos então mostrar como proteger o seu servidor contra DDoS.

O segundo computador também está sendo executado com o Debian 8, esse apenas tem o Slowloris instalado, que será a ferramenta para a execução do DDoS.

Slowloris

Slowloris é um programa para ataque de negação de serviço inventado por Robert “RSnake” Hansen que permite que uma única máquina derrube um servidor web, com efeitos mínimos de largura de banda. Slowloris tenta manter muitas conexões com o servidor de destino da web aberta e mantê-las abrir o maior tempo possível. Ele faz isso através da abertura de conexões para o servidor web de destino e enviar um pedido parcial, nunca completando.

Servidores afetados irão manter essas conexões abertas, enchendo ao máximo seu pool de conexões simultâneas.

Para a execução do programa no Linux, algumas bibliotecas são necessárias, o perl, líbio-socket-ssl-perl. No Debian 8 esses pacotes já vem com o sistema, mas lembre-se de verificar.

Faça o download do programa no link:

https://mega.nz/#!FgJziAKK!CyIf1XR_vqbw1C6vs1vxvfjZO7OE8AoLSwsN5XXEWPk

Navegue até o diretório criado e execute o comando:

# perl slowloris.pl –dns IP

Observe que agora começa o envio dos pacotes.

Abra o navegador em um outro equipamento da sua rede e chame o seu servidor Apache.

Note que o site foi aberto, deixe o Slowloris em execução e atualize o navegador.

Explore também mais opções do Slowloris, você pode direcionar o ataque a uma porta específica:

perl slowloris.pl -dns www.example.com -port 80

Você pode especificar o número de sockets:

perl slowloris.pl -dns www.example.com -port 80 –num 500

E realizar o ataque também em uma página HTTPS:

perl slowloris.pl -dns www.example.com -port 443 -timeout 30 -num 500 –https

Faça seus testes, e acompanhe o SuporteRedes, nos próximos artigos vamos ensinar como defender o seu servidor!

Humberto F. Forsan

Especialista em Segurança da Informação