DDoS HTTP GET

Ultimamente hemos visto ya varios ataques a nuestros servidores web utilizando metodologias como HTTP GET flood .... estos ataques antes eran realizados como simple DoS generalmente utlizando algun sistema de spoofing para simular las IPs atacantes.
En la actualidad esto ha cambiado un poco dado que ahora utilizan los ya conocidos Botnets o RFI Bots los cuales pueden generar un dolor de cabeza ya que utilizando IPs validas pueden pasar algunas medidas de seguridad implementadas.

Actualmente vimos mucha gente que esta sufriendo estos ataques, cabe destacar que mas de 10 clientes han venido a nuestra empresa por este tema lo que indica que esto va creciendo considerablemente sobretodo luego de los ataques DDoS a twitter y facebook.

Mitigar estos ataques es algo un poco mas complejo que un ataque DDoS Syn o UDP.. de hecho la mayoria de las empresas que ofrecen protecciones contra DDoS tienen sus reparos en poder filtrar estos ataques dado que hay una simple razon: las peticiones de cada una de las IPs atacantes al webserver es legitima, osea la misma es valida para el webserver asi como cualquiera que quiera ver un sistio hosteado en ese webserver. Es aqui donde los firewalls para protegernos de un DDoS que consume ancho de banda ( TCP o UDP pkts ) no puede hacer nada.
Aqui es donde entran a jugar un poco mas los appliance, IDS y algunos sistemas propios de cada empresa.. las razones es que un ataque de este estilo, ( combinacion de DDoS + HTTP GET / POST Flood ) no sirve para consumir ancho de banda solamente sino que apunta a consumir todos los recursos que el webserver pueda tener. Generalmente esto afecta en mayor media a sitios que utilizan PHP como codigo.. y aveces un ataque con no mas de 100 IPs puede realmente dejar el webserver sin recursos o dependiendo la potencia del servidor hasta puede generarle un crash al sistema.

Muchos se preguntan si esto es asi como es que se mitigan estos ataques..? pues aqui les va algo de la ayuda para todos los colegas.
Primero que nada los webservers mas afectados son los Apache tanto 1.x como 2.x por la forma en que trabajan, siendo la version apache 2.2 ( mmp worker ) la mas afectada.
Por lo que se recomienda quizas utilizar otros webservers lighthttp o litespeed son muy efectivos comenzar a mitigar estos ataques ya que a diferencia de apache.. estos no consumen tantos recursos del sistema. Es bueno informar que el Information Server ( Windows web server ) no es afectado tan drasticamente.

Una vez que tenemos un buen webserver con un excelente Tunning ( no desmerezco a Apache que tantas satisfacciones me ha dado y sigue siendo mi preferido pero con estos ataques se queda un poco corto ) ya ahorraremos algo de recursos pero aun los sitios seguiran offline? si el ataque continua si ... por lo que ahora .. hay que filtrar esas IPs atacantes.

La mejor forma de hacerlo es utilizando un IDS .. para algunos snort_inline es una de las mejores opciones sobretodo por que inspecciona los paquetes antes que les llegue el request al webserver y el IDS ( bien configurado claro ) puede dar la orden a los firewalls para filtrar las IPs que considera potencialmente peligrosas. obviamente hay algunas opciones de appliance de pago que cumplen esta funcion de forma mas .mm vistosa. ejemplo los productos de Barracuda Networks.

En W-D utilizamos 2 IDS y 2 Firewalls solo para este tipo de ataques y mediante la metodología antes mencionada realmente funciona.

Vale aclarar que para este tipo de ataques de nada sirve el ddos_deflate, mod_security,mod evasive, etc. por que realmente son request reales y validos para el webserver el cual solo recibe la primer parte del request y queda a la espera del resto de la solicitud ( consumiendo ese request un slot de apache ) ..por lo que aun cuando las ip atacantes solo envien 2 solicitudes ( para eso solo necesitan establecer 1 conexion TCP al port del webserver ) multiplicado por la cantidad de IPs atacantes. imaginemos una botnet muy pequeña de 200 bots nos daria como resultado 400 slots de apache esperando durante el tiempo que dure la sesion a ser completados.. consumiendo los recursos de apache quien obviamente consumiera los recursos del sistema .. ahora imaginemos que envia 4 request ( nada anormal ya que muchos browsers utilizan esa metodologia para bajar mas rapido el contenido del sitio ) en donde solo se establece 1 conexion tcp por cada ip atacante.. lo que nos daria en 1 segundo 800 slots de apache eso generaria la saturación en muchos casos de apache ... ( con los recursos de sistema que este consume ) ahora imaginemos que esto sucede cada 10 segundos... y los procesos se van acumulando hasta que den timeout ... saben lo que eso provoca..?

Espero haber podido ayudarles y ante cualquier consulta que tengan no duden en preguntar y responderemos dentro de nuestros liites de conocimiento..

Saludos

P.D.: mas adelante posteare algunas configuraciones que puedan ayudar ( FreeBSD - Linux ) para que puedan ayudarles en estos casos.

 

Como va apolo pues aqui nuevamente para ver si podemos ayudar a los colegas con estos temas que lamentablemente parecen ser cada vez mas recurrentes y tenemos muchos amigos con empresas de hosting que estan sufriendo estos problemas ...

esperemos en la medida de lo que podamos ayudarles ..

Saludos.