باحث عن المعرفة
19-06-2009, 18:40
نشر حديثاً كود يستغل ثغرة في apache تتيح لشخص واحد فقط ومن خلال أمر واحد بسيط حجب غالبية مواقع النت التي تستخدم apache كخادم.
الفكرة هي كالاتي
عند القيام باتصال يقوم الخادم بفتح اتصال ويتنظر الرأس (header) هذه الأداة سوف بفتح الاتصال ولن تقوم بارسال الرأس بل على العكس ستقوم بارسال رؤوس مزيفة وهو ما يبقي الاتصال محجوزاً
الجزء الاول في عمل الاداة هو ارسال الاتي
كود:
GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n
Content-Length: 42\r\n
الكود في الاعلى ناقص CRLF الخاصّة باغلاق الاتصال بدلاً منها يقوم الكود بارسال الاتي
X-a: b\r\n
وهي لا تعني اي شيء بالنسبة للخادم مما يبقي الاتصال مفتوحا بعد عدّة اتصالات مفتوحة سيصل الخادم الى مرحلة يصبح فيها غير قادر على استقبال اتصالات جديدة وهو ما يحجب الخدمة.
الحل المتوفر حالياً هو من خلال تطبيق قواعد في انظمة كشف التسلسل Intrusion Detection Systems بحيث تحدد هكذا اتصال وتقوم بتجاهله
الخوادم التي تستخدم IIS و Lighttpd آمن من هكذا هجوم
مجتمع apache لم يقدم حتى اﻻن أي جل للمشكلة.
في الفترة القريبة القادمة سوف نشهد العديد من هجمات حجب الخدمة على العديد من المواقع.
الفكرة هي كالاتي
عند القيام باتصال يقوم الخادم بفتح اتصال ويتنظر الرأس (header) هذه الأداة سوف بفتح الاتصال ولن تقوم بارسال الرأس بل على العكس ستقوم بارسال رؤوس مزيفة وهو ما يبقي الاتصال محجوزاً
الجزء الاول في عمل الاداة هو ارسال الاتي
كود:
GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n
Content-Length: 42\r\n
الكود في الاعلى ناقص CRLF الخاصّة باغلاق الاتصال بدلاً منها يقوم الكود بارسال الاتي
X-a: b\r\n
وهي لا تعني اي شيء بالنسبة للخادم مما يبقي الاتصال مفتوحا بعد عدّة اتصالات مفتوحة سيصل الخادم الى مرحلة يصبح فيها غير قادر على استقبال اتصالات جديدة وهو ما يحجب الخدمة.
الحل المتوفر حالياً هو من خلال تطبيق قواعد في انظمة كشف التسلسل Intrusion Detection Systems بحيث تحدد هكذا اتصال وتقوم بتجاهله
الخوادم التي تستخدم IIS و Lighttpd آمن من هكذا هجوم
مجتمع apache لم يقدم حتى اﻻن أي جل للمشكلة.
في الفترة القريبة القادمة سوف نشهد العديد من هجمات حجب الخدمة على العديد من المواقع.