Emergen complejas formas de ataques por denegación de servicio

24 Feb 2011 en Seguridad

Los ataques por denegación de servicio (DoS) tradicionales consisten en torrentes de paquetes que entran en el tráfico y desbordan a un servidor Web. Esta saturación hace que los usuarios legítimos no puedan recibir servicios.
En los últimos meses apareció una nueva forma de ataque DoS. Se dirige a niveles más altos en el stack de la red. Especialistas de la firma Trustwave- SpiderLabs, explicaron esta clase de ataques en la conferencia de seguridad “Black Hat” que se realizó en la tercer semana de enero.
“DoS en el layer 4 consiste en crear conexiones simultáneas en esa capa de la red, sobrecargando dichas conexiones. Ahora, se pueden utilizar tanto el layer 7 como las aplicaciones Web para causar Denegación de Servicio,” nos dice Tom Brennan.
Un DoS en el layer 7 (capa 7 del modelo OSI), ocurre cuando un cliente requiere una conexión a un servidor Web, tal como la de un campo de formulario vía un requerimiento HTTP POST. El servidor Web espera por el dato de ese campo y el ataque lo alimenta a una velocidad sumamente lenta. “Si soy capaz de crear 20000 o más conexiones al servidor Web y cumplimentarlas muy lentamente, tendré un DoS y el servidor estará indisponible para sus legítimos usuarios,” agrega.
Brenan participa en OWASP (Open Web Application Security Project) y ha publicado una herramienta denominada HTTP POST  que sirve para detectar si se está en riesgo de sufrir un ataque DoS layer 7. El ataque HTTP POST DoS tiene un alcance muy amplio ya que puede impedir que usuarios de un sitio Web se conecten cuando se usa un login con formulario.
Los ataques DoS tradicionales pueden ser bloqueados por un IPS (Intrusion Prevention System), pero los que afectan a layer 7 son más problemáticos. “No se centran en el ancho de banda sino en recursos de la propia plataforma del servidor Web. El meollo de la cuestión es que el volumen de tráfico requerido para inactivar un sitio Web es mucho menor que el necesario para inundar el caño de la red que lleva al servidor Web,” nos dice Ryan Barnett, investigador de esta misma firma.
Los administradores de servidores Web hallarán alguna ayuda en el módulo “mod_reqtimeout” y en la opción RequestReadTimeout del servidor Web Apache 2.2. La primera permite establecer tiempos de espera para la recepción completa de headers o cuerpos. Sin embargo, es una solución que todavía está en su etapa experimental.
Las configuraciones de RequestReadTimeout son globales y aplican al sitio completo. Apache también cuenta con modsecurity, aplicación WAF (Web Application Firewall) open source. Además, existen aplicaciones comerciales como WebDefend. En esta solución se utiliza la directiva SecReadStateLimit para identificar ataques tipo Slow HTTP Header. Detecta cuando los clientes tienen demasiadas conexiones esperando en modalidad SERVER_BUSY_STATE.
Existen varias modalidades de DoS Layer 7, tales como las que utilizan inyección SQL para bloquear la base de datos del backend. En estos escenarios de Slow HTTP Request DoS se ataca al protocolo subyacente en la operación de la plataforma de servidor (Apache, IIS, etc) antes de alcanzar al código de la aplicación Web. Por esa razón, los desarrolladores no pueden hacer mucho. “Las organizaciones tienen que saber que el aseguramiento del código dentro de las aplicaciones no los protegerá en todos los casos,” concluye Barnett.