HTTP-palvelimiin kohdistettu palvelunestohyökkäystyökalu ja rajoituskeinot

Sovelluksiin kohdistuvista pienellä liikennemäärällä toteutettavista palvelunestohyökkäystekniikoista on viime kuukausina raportoitu entistä useammin

Viime viikolla julkaistiin hyökkäystyökalu, joka on suunniteltu aiheuttamaan palvelunestotila HTTP-palvelimissa. Työkalu toimii lähettämällä HTTP-palvelimille vaillinaisia HTTP GET tai HTTP POST -viestejä. Tällöin HTTP-yhteys jää avoimeksi ja palvelin varaamaan resursseja yhteyden ylläpitämiseksi. Resurssit varataan joidenkin palvelimien oletusasetuksissa minuuttien ajaksi, jolloin palvelunestotila voidaan aikaansaada melko pienellä määrällä HTTP-pyyntöjä.

Työkalun on raportoitu vaikuttavan haitallisimmin Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer -HTTP-palvelimiin ja Squid HTTP-välityspalvelimeen, niiden ollessa oletuskonfiguraatioissaan. Vastaavanlaisia HTTP-palvelimiin kohdistuvia hyökkäystekniikoita on kuvattu myös aiemmin. Työkalun tuottamaan hyökkäykseen on koottu rajoituskeinoja ISC SANS:n julkaisemassa blogiartikkelissa. Artikkelissa mahdollisesti toimiviksi rajoituskeinoiksi mainitaan Apache HTTP-palvelimen osalta TimeOut-direktiivin pienentäminen ja yhdestä IP-osoitteesta samanaikaisesti luotujen yhteyksien määrän rajoittaminen.

Kyseiseen heikkouteen on Apachen osalta olemassa myös epävirallinen kolmannen osapuolen korjaus. Epävirallisten päivitysten asentamista järjestelmiin tulee aina harkita huolellisesti. Korjaustiedostojen toimivuutta ei useinkaan ole huolellisesti testattu eikä niiden lähteiden luotettavuudesta ole välttämättä täyttä varmuutta. Mahdollisiin päivittämisestä koituviin järjestelmän toimivuusongelmiin ei välttämättä ole saatavilla tukea. CERT-FI ei ole tutkinut kyseessä olevaa korjaustiedostoa.


Asiasanat: Tietoturva, Tietoturva nyt!


Google+ Print