ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES

ATAQUES DoS (Denegacion de Servicio)

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor

se sobrecargue y no pueda seguir prestando servicios; por eso se lo denomina “denegación”, pues

hace que el servidor no de abasto a la cantidad de solicitudes. Esta técnica es usada por los

llamados crackers para dejar fuera de servicio a servidores objetivo.

Para esta práctica vamos a utilizar bajo Kali Linux un “sencillo” script hecho en PERL, implementa

una potente e inteligente manera de generar una denegación de servicio sobre un servidor Web

Apache. Para ello, se basa en la cantidad de peticiones que es capaz de mantener un servidor web

de forma concurrente. La forma de saturar el pool de servicios es mediante la creación de

“request” HTTP (con HTTPs también funciona) de manera que empiezan a enviar cabeceras y más

cabeceras al servidor de manera que asi se fuerza a mantener abiertas las conexiones por parte

del servidor. Los servidores web tienen determinado un número máximo global de sockets

permitidos.

1.- Accedemos a Kali Linux

2.- Ingresamos la siguiente dirección en nuestro navegador para obtener el script slowloris el cual

nos permitirá realizar el ataque: ha.ckers.org/slowloris/slowloris.pl

3.- Copiamos el código y lo guardamos en un archivo en el escritorio con el nombre slowloris.pl

4.- Requisitos:

Este es un programa Perl que requiere el intérprete Perl con los módulos; IO :: socket :: INET, IO ::

Socket :: SSL, y Getopt

Para ello instalamos de la siguiente manera:

perl –MCPAN –e ‘install IO::Socket::INET’

perl –MCPAN –e ‘install IO::Socket::SSL’

sudo apt-get install libgetopt-mixed-perl

sudo apt-get install perl doc

5.- Una vez instalados los componentes necesarios procedemos a realizar el ataque DoS, para ello

debemos dar permisos sobre el achivo creado slowloris.pl, mediante:

# cd Desktop

# ls

# chmod 777 slowloris.pl

6.- Ejecutamos el ataque a un servidor WEB objetivo mediante la instrucción:

# perl ./slowloris.pl –dns www.uti.edu.ec –port 80 –timeout 1 –num 1000 –cache

INUNDACION DE ICMP

Es una técnica que pretende agotar el ancho de banda de la víctima. Consiste en enviar de forma

continuada un número elevado de paquetes ICMP, (ping) de tamaño considerable a la víctima, de

forma que esta ha de responder con paquetes, lo que supone una sobrecarga tanto de la red como

en el sistema de la víctima.

Dependiendo de la relación entre la capacidad de procesamiento de la víctima y el atacante, el

grado de sobrecarga varía, es decir, si un atacante tiene una capacidad mucho mayor, la víctima no

puede manejar el tráfico generado.

El comando hping3, es un analizador/ensamblador de paquetes TCP/IP de uso en modo consola,

hping no solo es capaz de enviar paquetes ICMP, sino además también puede enviar paquetes

TCP, UDP, y RAW-IP

Por ejemplo si queremos hacer un ataque simple que sobrecargue el procesamiento o respuesta

de un “x” computador conectado a la red lo hacemos mediante la instrucción:

# ping 192.168.1.5 –l 5000 –t

Esto enviara cada segundo 5000 paquetes continuamente saturando el canal y por ende afectando

la respuesta de la pc víctima.

Otro derivado de este es:

#ping –t –a uti.edu.ec –n 10000

Esto hará que se envíen 10000 solicitudes de ping a la página y se sature, aunque es mejor si hay

varias pc atacantes realizando la misma acción contra el servidor o pc víctima.

En Kali Linux se puede hacer uso del comando hping3 y podemos ver con un sniffer como

wireshark, como se captura el tráfico enviado hacia una terminal elegida, y la carga que este

soporta:

Ahora reforzando un poco la instrucción:

# hping3 –c 10000 –d 120 –S –w 64 –p 21 –flood –rand-source www.uti.edu.ec

Donde:

Hping3: comando a utilizar

-c 10000: número de paquetes a enviar

-d 120: tamaño de cada paquete enviado

-S : solo se envía paquetes SYN

-w 64: Tamaño de ventana TCP

-p 80 : Puerto de destino

--flood : Envío rápido de paquetes, sin tener cuidado de mostrar respuestas entrantes

--rand-source : Uso de direcciones IP origen al azar, también se puede usar –ao – spoof para

ocultar los nombres de host

www.uti.edu.ec : dirección de destino o victima

Demostración:

Podemos ver como en unos segundos se ha inundado la red con más de 600000 paquetes

transmitidos de forma ininterrumpida, esto suele causar que la red se colapse, impidiendo a otros

usuarios poder utilizarla, ya que hping no deja espacio entre paquete-paquete, para que otras

máquinas transmitan ningún otro tipo de información.

CUANTAS CONEXIONES SOPORTA ACTUALMENTE APACHE SQUID?

Esto depende del hardware (Servidor) que se ha configurado, ya que squid y apache consumen

CPU, RAM, a de más que debe tener una buena tarjeta de red que soporte las conexiones puede

ser de 100/1000 Mbps.

Es de tomar muy en cuenta además el tipo de switch utilizado ya que al realizar la conexión en

cascada puede ralentizar la red gravemente.

Un servidor correctamente configurado puede soportar de 100 a 150 estaciones de trabajo,

conectadas de forma simultánea, aconsejable utilizar un backbone si se utiliza en cascada.