[FUG-BR] Apache vulnerável

[Luiz Gustavo S. Costa]

O maior problema de DOS (não DDOS, pq se for esse ai f*deu mesmo) é a
banda que o vagabundo consome.

Mesmo que você bloqueie ele no seu firewall, a requisão é tanta que
consome todo o seu tunel de banda disponivel até o seu gateway, ou
seja, continua usando a tua banda toda.

Você só consegue bloquear o pacote de chegar no seu aplicativo.

Dai é muita conversa e contato com a operadora para bloquear o
vagabundo lá na borda.

Ai tu explica (quase ensinando, sim, eu já tive que passar comando
cisco pro cara no telefone pra ele bloquear o cara) que tem que
bloquear o cara na borda.

Outra via é entrar em contato (via whois) com o dono do bloco de ip e
tentar matar o cara direto na raiz.. mas ai.. é sorte malandro.

Enfim... a solução ai do apache é sanar o problema na aplicação, mas a
nivel de rede (como os colegas falaram) ainda é outra tortura.

BGP é uma solução legal para DoS, por que te da uma folga em outro
link e você tem um poder maior de administração (manda o vagaba lá pra
blacklist e tchau).. agora se for DDos.. vixi.... acho que só um deny
any pra resolver... e desliga o celular. :p

Abraços

Em 31 de agosto de 2011 01:00, Lucas Dias <lucasmcz em gmail.com> escreveu:
> Em 31 de agosto de 2011 00:03, Leonardo Rota Botelho <
> leonardobotelho em gmail.com> escreveu:
>
>> É na aplicação mesmo..
>>
>> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3192
>> http://www.exploit-db.com/exploits/17696/
>>
>> Creio que não saiu nada gondim.. http://www.freshports.org/www/apache22/
>> Mas vou dar uma olhada com mais calma.
>>
>> O que podes fazer para bloquear algum possível ataque é usar o
>> mod_security.
>>
>> http://blog.spiderlabs.com/2011/08/mitigation-of-apache-range-header-dos-attack.html
>>
>> Abs!
>>
>> 2011/8/30 Cleyton Agapito <cragapito em gmail.com>:
>> > Em 30 de agosto de 2011 19:59, Lucas Dias <lucasmcz em gmail.com> escreveu:
>> >> Em 30 de agosto de 2011 19:40, Paulo Henrique - BSDs Brasil <
>> >> paulo.rddck em bsd.com.br> escreveu:
>> >>
>> >>> gondim em bsdinfo.com.br wrote:
>> >>> > Pessoal,
>> >>> >
>> >>> > Provavelmente muitos já viram que o apache está vulnerável à DoS.
>> Ainda
>> >>> > não saiu nenhuma atualização no ports para resolver esse problema.
>> >>> > Costuma demorar pra sair um patch desse nível ou já já sai?
>> >>> > -------------------------
>> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>> >
>> >>> Gondim, no caso DoS não tem muita coisa a ser feita a não ser que você
>> >>> tenha mais banda que o atacante ou possua varios contratos de conexão
>> >>> com restrição desse tipo de ataque direto na borda da Operadora.
>> >>> A correção para isso se chama vontade, vontade das Operadoras
>> >>> desempenhar seus serviços dentro da conformidade de segurança.
>> >>>
>> >>> Att.
>> >>> -------------------------
>> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>>
>> >>
>> >> Concordo. DoS é tenso. Mesmo vc mitigando , ou tentando mitigar com
>> várias
>> >> técnicas, é complicado. Se o atacante tiver com uma botnet a disposição
>> pra
>> >> fazer o mal, complica mais ainda.
>> >> E essa vontade das Operadoras vai demorar pacas. e bote pacas nisso =)
>> >>
>> >
>> > Se entendi direito, no caso de um software ser vulnerável a DoS quer
>> > dizer que um único atacante, através de um acesso malicioso  conseguir
>> > "tirar o sistema do ar", deixá-lo indisponível, irresponsível, isso é
>> > grave e deve ser corrigido...
>> >
>> > O caso descrito pelos dois colegas é de sobrecarga do enlace, tipo um
>> > DoS no enlace, não no sistema, nesse caso realmente é complicado
>> > porque depende de vc ter os contatos para interromper a avalanche em
>> > algum ponto antes de você, fora de seu domínio, o que creio não ser o
>> > caso.
>> >
>> > []´s
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >
>>
>>
>>
>> --
>> Leonardo Rota Botelho
>> OSCP / GPEN
>> http://twitter.com/b0telh0
>> http://leonardobotelho.com/blog/
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Como tinha dito antes, você poderá usar tudo para mitigar a situação do DoS,
> mesmo se for pra inflar seu link, ou se for atacando o velho índio.
> Mod_Security é uma solução no auxilio a mitigar isso. Usar um HIDS e um IDS
> também ajudará, visto que você poderá tratar com thresholds para um número X
> qualquer de requisições de um mesmo lugar, em um curto espaço de tempo,
> jogar o cara para uma table do ipfw e blockar o "atacante" por um
> determinado tempo, ou para sempre e por aí vai...
>
> Sei que tem que se ter cuidado para não pirar o cabeção, porque isso é um
> buraco sem fim.
> Qualquer coisa, entra em contato com a Operadora e pede aquela ajuda =)
>
> Chato, porém quando só se tem um Link de 2Mbps e o muleque em casa tá com 30
> da GVT, acaba sendo até sacagem =)
>
> Acredito que sairá alguma correção para o problema citado em breve.
>
> DDoS já é outra mazela =(
>
> --
> .:: Lucas Dias
> .:: Analista de Sistemas
> .:: OS3 Soluções em TI
> .:: VectraCS - NOC Infovia Alagoas
> .:: (82) 8813-1494 / 8111-2288 / 9999-2453
> .:: Antes de imprimir, veja se realmente é necessário!!!
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
  /\             Luiz Gustavo S. Costa
 /  \            Programmer at BSD Perimeter
/    \ /\/\/\    Visit the pfSense Project
/      \    \ \   http://www.pfsense.org
---------------------------------------------------------------------
BSD da serra carioca, Teresopolis (visite: http://miud.in/Inv)
Contatos: luizgustavo em luizgustavo.pro.br / lgcosta em pfsense.org
Blog: http://www.luizgustavo.pro.br