En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Reducir impacto ataques HTTP Flood/DoS en aplicaciones Web.

Hay muchas situaciones en los escenarios del mundo real que los ataques HTTP Flood no son mitigados adecuadamente. Situaciones como éstas podrían ser manejadas con mejoras de seguridad en los diferentes niveles de la arquitectura de tecnología de la información. Es importante aclarar, si el ataque es un ataque de HTTP Flood o no. Para considerar un intento de ataque como un ataque de HTTP Flood, un paquete TCP tiene que llevar una carga útil de solicitud HTTP y debe ser interpretado por el servicio web. La superficie de ataque para los ataques de HTTP Flood comienza siempre con el servicio web y su infraestructura back-end.Un intento de ataque de HTTP Flood, que no puede llegar hasta el servicio web, es sólo un ataque DoS de TCP que satura el tráfico de red.

Su impacto se puede reducir implementando el modulo IOSEC. Este módulo proporciona mejoras de reducción de superficie de ataque contra los ataques de HTTP Flood y ataques de fuerza bruta, a nivel de la aplicación web. Herramientas de detección masivos (como los escáneres de vulnerabilidad), herramientas HTTP Flood pueden ser bloqueadas o detectadas por este módulo a través de htaccess, firewall o iptables, etc (como mod_evasive).

IOSEC trabaja siguiendo los siguientes pasos a nivel de aplicación para detectar las direcciones IP Flooder y reducir la superficie de ataque contra los ataques de HTTP Flood:

  • Llama a un script global file/class/library antes de procesar cada código relacionado con la aplicación web.
  • Registra cada dirección IP que envía  una solicitud.
  • Guarda todos los registros en  " DBMS archivos planos " o RAM.
  • Registra la solicitud en microsegundos y la cuenta de solicitudes, junto con las direcciones IP.
  • Compara los recuentos y tiempos de cada solicitud presentada por la misma dirección IP.
  • Registra las direcciones IP y los valores de tiempo en torno a una regla.
  • Crea excepciones para las direcciones IP de la lista blanca.
  • Registra cada dirección IP que incumple la regla.
  • Parada de ejecución de la aplicación web para reducir la superficie de ataque en una ruptura con el pseudo código "EXIT".
  • Define un límite de tiempo para la suspensión de la ejecución de la aplicación web.
  • Muestra una pregunta CAPTCHA para los usuarios que accidentalmente están en la lista negra y no quiere esperar el tiempo de la suspensión.
  • Envía direcciones IP detectadas a los otros componentes de seguridad (firewall) egstateless.
  • Notifica al administrador a través de un correo electrónico.

En el 2013 IOSEC fue usado en más de 15.000 sitios web, además posee un plugin para Wordpress, que permite implementar el modulo en la plataforma.

Más información y descarga de IOSEC:
http://sourceforge.net/projects/iosec/?source=directory

Demo del módulo aquí:
http://www.iosec.org/test.php

Wordpress Plugin:
http://wordpress.org/plugins/iosec-anti-flood-security-gateway-module/
Reducir impacto ataques HTTP Flood/DoS en aplicaciones Web. Reducir impacto ataques HTTP Flood/DoS en aplicaciones Web. Reviewed by Álvaro Paz on martes, enero 07, 2014 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.