Denial of Service aanval: applicatie in gevaar

Hacktivisme en datalekken. Het zijn twee hardnekkige trends die de internetwereld in toenemende mate in hun greep houden. Dat het onderwerp in de belangstelling staat, komt mede door de activiteiten van een groepering als Anonymous. Hun Distributed Denial of Service (DDoS) aanvallen brachten nogal wat bedrijven en organisaties negatief in het nieuws. In deze serie artikelen gaan we dieper in op Denial of Service aanvallen en mogelijke verdedigingsmethodes.

In het vorige artikel hebben we een analyse gemaakt van de verschillende methodes die hackers gebruiken om netwerken aan te vallen. Onderzoek laat echter zien dat in iets meer dan de helft van de gevallen sprake is van aanvallen op achterliggende applicaties. De infrastructuur van het netwerk blijft daarbij doorgaans buiten schot. In dit artikel behandelen we de verschillende aanvalsmethodieken voor applicaties.

Weinig bandbreedte
Applicatie aanvallen zijn aanvallen die gericht zijn op achterliggende applicaties, zoals een webserver, DNS-server of een telefooncentrale. Door geconstrueerde aanvragen naar deze achterliggende applicaties te sturen, raken deze overbelast. Kenmerk van aanvallen op applicaties is dat deze erg weinig bandbreedte vereisen, en dat ze veelal zijn gericht op specifieke zwakke punten in een applicatie. Applicatie aanvallen hebben over het algemeen ook weinig invloed op andere diensten die dezelfde server draaien. Applicaties die vaak door hackers worden aangevallen zijn E-mailservers (SMTP), Webservers (HTTP en HTTPS), DNS servers en VoIP telefooncentrales.

Een voorbeeld van een applicatie aanval is de ‘Slow HTTP’ aanval. Daarbij opent een applicatie een HTTP aanvraag (GET) naar een webserver, zonder de volledige aanvraag ineens te versturen. In plaats daarvan de aanvaller zijn aanvraag karakter voor karakter, met een bepaalde interval ertussen. Omdat de aanvraag nog loopt, zal de webserver de betreffende sessie openhouden. Door het herhalen van meerdere Slow HTTP aanvallen zal de webserver vrij snel aan het maximale aantal sessies zitten, om vervolgens onbeschikbaar te worden voor normale aanvragen.

Multi-vector aanvallen
In de meeste gevallen worden aanvallen op netwerken en applicaties tegenwoordig door elkaar gebruikt in een campagne tegen een bepaald doel. Het idee achter dit gecombineerde aanvalsplan is dat als een van de aanvallen niet blijkt te lukken, een andere methode mogelijk meer succes heeft. Door op die manier de ‘winstkansen’ te spreiden, heeft een hacker meer kans om zijn doel te bereiken. Dit soort aanvallen worden multi-vector aanvallen genoemd.

Tools
Veel applicatie-gerichte aanvallen maken deel uit van multi-vector aanvalstools, zoals Low Orbit ION Cannon (LOIC). LOIC combineert TCP, UDP (netwerk) en HTTP (applicatie) Flooding, en is bekend geworden als de favoriete tool van de los-vaste Anonymous groepering. Er is ook een mobiele versie van LOIC, Mobile LOIC, die bedoeld is om vanaf een telefoon een aanval uit te kunnen voeren. Deze JavaScript tool kan alleen HTTP Flood aanvallen uitvoeren en draait vanaf een webpagina.

Een andere bekende tool in opkomst is de Slow HTTP POST tool, R.U.D.Y. (Are You Dead Yet). Deze applicatie-gerichte tool opent een HTTP-aanvraag om data te verzenden naar een achterliggende webserver en stuurt de data vervolgens per karakter, met een interval van tien seconden. De aanvraag duurt daardoor extreem lang. De webserver reserveert bij de eerste aanvraag resources en geeft deze pas vrij als de aanvraag volledig is verwerkt. Bij een tool als R.U.D.Y. is het dus mogelijk om met weinig bandbreedte een effectieve aanval te genereren.

Bescherming
Door het karakter van op applicatie gerichte aanvallen zijn deze lastiger te herkennen en tegenhouden. Voor specifieke implementaties zijn regels te schrijven en te implementeren middels plugins als mod_evasive voor Apache, maar dit houdt slechts een deel van de aanvallen tegen. Een oplossing voor dit probleem is het implementeren van een Intrusion Prevention System (IPS) dat gebruik maakt van meerdere detectiemethodes om multi-vector aanvallen te kunnen opsporen.

Zo is een onbekende Slow HTTP aanval te detecteren door een gedragsanalyse van het netwerk te maken. Veel andere onbekende applicatie aanvallen zijn te detecteren met behulp van Sessie Cookies, of door toepassing van redirects. Deze laatste worden alleen verwerkt door legitieme clients, maar niet door bots die niet meer doen dan een bepaalde zwakheid uitbuiten.

Bekende aanvallen kunnen daarnaast weer door statische Signatures worden herkend en gefilterd.
In een later artikel in de serie zullen we dieper ingaan op de verschillende methodes die Intrusion Prevention Systems hiervoor tot hun beschikking hebben.



Gert-Jan de Boer
is IT-Specialist bij aaZoo en al ruim tien jaar actief als netwerk/security specialist voor diverse organisaties. aaZoo is een IT-dienstverlener gespecialiseerd in het ontwerpen, bouwen en beveiligen van internet & e-commerce omgevingen met onder andere Anti-DDoS en Intrusion Prevention oplossingen.