Содержание статьи
Что такое RU еще мертв?
Названный в честь альбома финской мелодик-дэт-металлической группы Children of Bodom, RUDY (сокращение от RU-Dead-Yet?) - это инструмент DoS, используемый для выполнения медленных атак (аналогично Slowloris), который реализуется с помощью полных представлений длинной формы.
Низкоскоростные DDoS-атаки уровня 7, также называемые «низкими и медленными» атаками, пытаются открыть относительно небольшое количество подключений к целевому серверу или веб-сайту в течение определенного периода времени и оставлять сеансы открытыми как можно дольше.
В конце концов, количество и продолжительность открытых сеансов исчерпывают ресурсы цели, делая ее недоступной для легитимного трафика. Поскольку низкий и медленный трафик атаки кажется законным, эти атаки часто остаются незамеченными традиционными инструментами смягчения.
Описание атаки
RUDY - это популярный инструмент низкой и медленной атаки, который предназначен для сбоя веб-сервера путем отправки длинных полей формы.
Атака выполняется с помощью инструмента DoS, который просматривает целевой веб-сайт и обнаруживает встроенные веб-формы. После того, как формы идентифицированы, RUDY отправляет законный запрос HTTP POST с ненормально длинным полем заголовка content-length, а затем начинает вводить форму с информацией, по одному пакету размером в один байт за раз.
Выдержка из скрипта RUDY v2.2
Информация отправляется не только небольшими порциями, но и очень медленно, обычно с интервалом ~ 10 секунд между каждым байтом. Тем не менее, следует отметить, что некоторые варианты RUDY будут использовать случайные временные интервалы, чтобы предотвратить обнаружение.
Отправляя множество небольших пакетов с очень низкой скоростью, RUDY создает огромное количество невыполненных потоков приложений, в то время как длинное поле Content-Length не позволяет серверу закрыть соединение. В конечном итоге атака исчерпывает таблицу соединений целевого сервера, что приводит к сбою сервера.
Помимо автоматического обнаружения веб-форм, большинство инструментов RUDY также позволяют злоумышленнику выбирать, какие поля формы следует атаковать. Последняя версия инструментов RUDY также поддерживает прокси-серверы SOCKS и сохранение сеансов на основе файлов cookie, если они доступны.
Если не выявить или не смягчить приступы Slowloris, они могут продолжаться в течение длительного периода времени. По истечении времени ожидания атакованных сокетов Slowloris просто повторно инициирует соединения, продолжая максимально загружать веб-сервер до тех пор, пока не будет устранен.
Методы смягчения
Низко-медленные атаки, такие как RUDY, относительно сложно обнаружить по сравнению с объемными DDoS-атаками, которые заметны из-за аномально высоких колебаний входящего трафика.
Imperva смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Один из способов обнаружения RUDY и других низко- и медленных атак - это тщательный мониторинг ресурсов сервера.
Например, некоторые устаревшие решения по смягчению последствий могут отслеживать использование памяти сервера и ЦП, таблицы соединений, потоки приложений и многое другое для выявления злоупотребления ресурсами, включая длительные и неиспользуемые открытые сетевые соединения или зависшие процессы приложений.
Дополнительный метод смягчения последствий включает анализ поведения открытых серверных подключений. Эти решения пытаются имитировать требования к ресурсам стека приложений без прямого подключения к самому серверу. Если выявлено злоупотребление, его можно отследить и смягчить.
Imperva предлагает другой, менее сложный и значительно более эффективный метод защиты от RUDY и других низко- и медленных DoS-атак.
Службы безопасности Imperva, поддерживаемые технологией обратного прокси, используются для проверки всех входящих запросов на их пути к серверам клиентов. Это означает, что защищенный прокси-сервер Imperva просто не будет пересылать частичные запросы на соединение, что делает все DoS-атаки RUDY совершенно бесполезными.
- Что такое RU еще мертв?
- Описание атаки
- Методы смягчения
Что такое RU еще мертв?
Названный в честь альбома финской мелодик-дэт-металлической группы Children of Bodom, RUDY (сокращение от RU-Dead-Yet?) - это инструмент DoS, используемый для выполнения медленных атак (аналогично Slowloris), который реализуется с помощью полных представлений длинной формы.
Низкоскоростные DDoS-атаки уровня 7, также называемые «низкими и медленными» атаками, пытаются открыть относительно небольшое количество подключений к целевому серверу или веб-сайту в течение определенного периода времени и оставлять сеансы открытыми как можно дольше.
В конце концов, количество и продолжительность открытых сеансов исчерпывают ресурсы цели, делая ее недоступной для легитимного трафика. Поскольку низкий и медленный трафик атаки кажется законным, эти атаки часто остаются незамеченными традиционными инструментами смягчения.
Описание атаки
RUDY - это популярный инструмент низкой и медленной атаки, который предназначен для сбоя веб-сервера путем отправки длинных полей формы.
Атака выполняется с помощью инструмента DoS, который просматривает целевой веб-сайт и обнаруживает встроенные веб-формы. После того, как формы идентифицированы, RUDY отправляет законный запрос HTTP POST с ненормально длинным полем заголовка content-length, а затем начинает вводить форму с информацией, по одному пакету размером в один байт за раз.
Выдержка из скрипта RUDY v2.2
Информация отправляется не только небольшими порциями, но и очень медленно, обычно с интервалом ~ 10 секунд между каждым байтом. Тем не менее, следует отметить, что некоторые варианты RUDY будут использовать случайные временные интервалы, чтобы предотвратить обнаружение.
Отправляя множество небольших пакетов с очень низкой скоростью, RUDY создает огромное количество невыполненных потоков приложений, в то время как длинное поле Content-Length не позволяет серверу закрыть соединение. В конечном итоге атака исчерпывает таблицу соединений целевого сервера, что приводит к сбою сервера.
Помимо автоматического обнаружения веб-форм, большинство инструментов RUDY также позволяют злоумышленнику выбирать, какие поля формы следует атаковать. Последняя версия инструментов RUDY также поддерживает прокси-серверы SOCKS и сохранение сеансов на основе файлов cookie, если они доступны.
Если не выявить или не смягчить приступы Slowloris, они могут продолжаться в течение длительного периода времени. По истечении времени ожидания атакованных сокетов Slowloris просто повторно инициирует соединения, продолжая максимально загружать веб-сервер до тех пор, пока не будет устранен.
Методы смягчения
Низко-медленные атаки, такие как RUDY, относительно сложно обнаружить по сравнению с объемными DDoS-атаками, которые заметны из-за аномально высоких колебаний входящего трафика.
Imperva смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Один из способов обнаружения RUDY и других низко- и медленных атак - это тщательный мониторинг ресурсов сервера.
Например, некоторые устаревшие решения по смягчению последствий могут отслеживать использование памяти сервера и ЦП, таблицы соединений, потоки приложений и многое другое для выявления злоупотребления ресурсами, включая длительные и неиспользуемые открытые сетевые соединения или зависшие процессы приложений.
Дополнительный метод смягчения последствий включает анализ поведения открытых серверных подключений. Эти решения пытаются имитировать требования к ресурсам стека приложений без прямого подключения к самому серверу. Если выявлено злоупотребление, его можно отследить и смягчить.
Imperva предлагает другой, менее сложный и значительно более эффективный метод защиты от RUDY и других низко- и медленных DoS-атак.
Службы безопасности Imperva, поддерживаемые технологией обратного прокси, используются для проверки всех входящих запросов на их пути к серверам клиентов. Это означает, что защищенный прокси-сервер Imperva просто не будет пересылать частичные запросы на соединение, что делает все DoS-атаки RUDY совершенно бесполезными.
