Obáváte se akcí Anonymous? Máme rady, jak rizika snížit

SecurityWorld | 02.02.12

V posledních dnech výrazně stoupl počet ataků vůči webových stránkách různých institucí či podniků. přinášíme vám ve spolupráci s týmem CSIRT.CZ rady, jak rizika eliminovat.


Sdílet Sdílet

CSIRT, který působí v rámci sdružení CZ.NIC, vydal doporučení pro správce internetových stránek. Anonymous používají nástroje, jakými jsou například HOIC, LOIC nebo SLOWLORIS a zároveň vytipovávají URL, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.); ty poté označí jako vhodný cíl útoku.

Tady je doporučení od CSIRT.CZ:
Nástroje HOIC, LOIC a SLOWLORIS generují HTTP requesty, v nichž obvykle zároveň náhodně mění HTTP hlavičky (user-agent, if-modified-since, referer, atd.). V současné době nezpůsobuje hlavní problém přehlcení internetového připojení, ale spíše zahlcení samotných serverů.
To je mimo jiné způsobené tím, že některé z výše uvedených nástrojů umožňují předem vytipovat stránky, jejichž volání server co nejvíce zatíží (formuláře, skripty s přístupem do databáze apod.) a ty poté definovat jako vhodný cíl útoku.

Ke snížení dopadu útoků může vést:
1. Proti útoku SLOWLORIS lze například použít modul pro webový server apache mod-antiloris.Tento modul omezuje počet otevřených konexí ve stavu SERVER_BUSY_READ pro jednu IP adresu; dalším podobným projektem je mod_noloris. Pokud používáte webový server nginx, ten je proti útokům pomocí slowloris odolnější.
2. Proti ostatním útokům lze použít modul TARPIT pro iptables, který zpomaluje odpovědi zasílané zpět útočníkům, čímž zdržuje posílání dalších requestů. Další možností je omezovat příchozí spojení pomocí modulů limit či hashlimit.
3. Proti útokům lze také doporučit použití některého odolnějšího webového serveru, například již zmiňovaný nginx v módu reverzní proxy se zapnutou cache.
4. Doporučujeme také zkontrolovat, zda na webové stránkách nejsou zbytečně dostupné skripty, které již nejsou potřeba, dále doporučujeme kontrolu stránek na XSS a SQL injection zranitelnosti, například pomocí nástroje Nikto2. Doporučujeme také preventivně změnit hesla k databázím.
Akcí Anonymous se neúčastní takové množství lidí, které by dokázalo účinně zahltit dnešní linky, jimiž jsou servery obvykle připojeny. Do budoucna je však potřeba počítat i s takovouto variantou. Pro tento případ bude nutné filtrování přesunout na upstream.



autor Pavel Louda


Další články z rubriky

Související články

Tagy

CSIRT.CZ · CZ.NIC · web · atak · DDoS · Anonymous · HOIC · LOIC · SLOWLORIS · XSS · SQL · HTTP · útok

pridatLinkuj | Jagg | Delicious | Facebook | vybrali.sme.sk



Komentáře