DDOS útok trochu jinak

A teď jednou zase z toho mého IT soudku… Při prohlídce logů na zdejším serveru, jsem dostal nápad, jak provést DDOS útok, nebo třeba cílené klikání na reklamu, nebo nějaký odkaz, jen za pomoci domény druhého řádu a „správně“ nakonfigurovaného webového serveru, u kterého bohatě stačí, že bude zapnutý jen pár týdnů. Nebudu zacházet do úplných detailů, protože se sám zatím pohybuji z velké části na teoretické rovině a nemůžu proto dát žádný konkrétní příklad. Nicméně jsem si téměř 100% jistý, že to bude fungovat.

Takžě k věci… Jde o to, že když máte webový server, kde je špatně zabezpečený formulář, řekněme, u návštěvní knihy (bez nutnosti přihlašování, ověřování přes Capcha, atp.), nebo třeba nezabezpečenou MediaWiki, můžete si být jistí, že se Vám taková stránka brzy začne plnit spamem. Když toto necháte několik týdnů běžet, tak se Vám na webovém serveru vytvoří stovky až gigabajty textu. To většinou bývá dost nemilá situace – člověk pak tráví spoustu času tím, že promazává databázi, připadá si jak popelka a proklíná všechny spammery na světě.

Jak to ale využít pro svůj prospěch?

Jde o to předvídat a naprogramovat si tento nezabezpečený web tak, aby v budoucnu sloužil svému účelu. Chceme-li tedy udělat DDOS útok na nějaký konkrétní web, musíme si na něm vybrat nějaký skript, který zatěžuje server (třeba tím, že na něm spouští nějakou výpočetně náročnou úlohu). Takový skript by zároveň měl umožňovat zadávání nějakých parametrů GET metodou. Řekněme tedy, že na webu example.net, na který chcete útočit, je skript search.php, který přes GET metodu přijímá parametr word a protože není uplně šťastně napsaný (má třeba chybně indexovanou databázi, nebo tam těch dat je zkrátka už moc a není na to odladěn), tak vyhledává poměrně dlouho a zatěžuje tím o trochu víc systémové prostředky. To většinou není žádný problém… Dokud nezačně DDOS útok.

Na svém serveru (ideálně tak, aby šlo o doménu třetího řádu – např. ddos.asocial.cz) si pak vytvoříte třeba onen nezabezpečený formulář, který bude vytvářet při každém novém příspěvku novou stránku se svou vlastní URL, která bude ve formátu ddos.asocial.cz/search.php?search=xyz (kde xyz budou buď náhodné znaky, nebo třeba i cílené dle nějakého slovníku, atp.). Druhá možnost je použít známý CMS (Mediawiki, Joomla, WordPress, Drupal, atd.), na který útočníci rádi útočí a ten si poupravit tak, aby vytvářel URL v takovémto formátu. Nemělo by to pak trvat dlouho a stránky se Vám začnou plnit spamem. Zde platí, že čím víc spamu a čím déle to necháte indexovat vyhledávači, tím větší to bude DDOS. Ve chvíli, kdy si řeknete, že by to mohlo stačit (což si časem určitě řeknete, protože nejprve to začne DDOSem na Váš server), uděláte to, že v nastavení DNS u vašeho registrátora, změníte CNAME domény třetího řádu tak, aby odkazoval na doménu vaší oběti. Všechny indexované a všemožně po webu rozšířené odkazy na spam, na Vašich stránkách, rázem pošlete na jiný web a ke všemu na jeho špatně napsaný skript. V mém hypotetickém příkladu se tedy URL ddos.asocial.cz/search.php?search=xyz díky DNS přesměruje na example.net/search.php?search=xyz. Mám vyzkoušeno, že poměrně dost lidí deně na některou z vašich URL klikne a pokud by to nestačilo, může se tento postup prostě opakovat, do té doby, kdy to stačit bude (nebo dokud vám nezruší doménu, nebo vás nezavřou).

Možná, že to není žádná novinka a jenom znovuobjevuju kolo… V tom případě budu rád, když mi o tom dáte vědět třeba do mailu (patok@asocial.cz), nebo do diskuse pod článkem.

2 komentáře na „DDOS útok trochu jinak“

  1. Fungovat to moc nebude, protoze pri pouziti CNAME dostane webserver obeti hlavicku:

    Host: ddos.asocial.cz

    Pokud bude example.net na sdilenym hostingu, nema se ceho bat. I pokud bude na dedikovanym serveru, je pravdepodobny, ze pozadavky na nenakonfigurovany domeny presmeruje na nejakej firemni web nebo nekam. Fungovat to bude na servery, ktery maji jeden spolecnej root pro uplne vsechno a skript /search.php tam bude dostupnej pro libovolnou domenu. Ale takovych nebude moc.

    1. Nojo, to je vlastně pravda… tak aspoň teda na ty servery, co nepoužívají name based virtual hosty, by to fungovat mělo (resp. vždy na toho default hosta)… na webhostingu s tímhle asi nepochodíš, ale na druhou stranu mi větší smysl dává DDOS útok na nějaký menší firemní server, který kolikrát jako defaultní web (tzn. ten co se zobrazí pod IP adresou) něco mít bude – sám pár takových případů znám… vlastně bych řekl, že jich bude i docela dost, protože logika nám adminům velí, abychom i při přístupu přes IP adresu, něco zobrazili… co kdyby totiž nefungovaly DNS servery?
      btw, asocial.cz by tímhle trpět sám neměl, protože při přístupu přes IP adresu zobrazí jen statickou stránku bez formulářů, REST API, CGI a snad i čehokoliv dalšího, co by šlo zneužít, nicméně to nebyl záměr, ale je to jen o tom, že jsem ještě na http://www.vypnuto.net/ nic pořádnýho nedal 🙂

Napsat komentář

This site uses Akismet to reduce spam. Learn how your comment data is processed.