Redazione RHC : 16 Maggio 2022 06:43
Molti si sono chiesti come mai l’infrastruttura IT del Senato abbia collassato con un attacco di denial of service (DoS). Non erano presenti sistemi Anti DDoS?
Come questo articolo cercheremo di fare chiarezza su cosa sono gli “slow HTTP Attack”, quale tool è stato utilizzato dal collettivo KillNet/Legion Russia per eseguire l’attacco e come proteggersi da queste insidiose minacce.
Gli attacchi effettuati da Killnet/Legion Russia, hanno utilizzato un tool, gratuitamente scaricabile online che si chiama Blood, che avevamo anticipato qualche articolo fa, proprio mentre l’attacco contro il Senato della repubblica italiana si stava consumando.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Blood risulta scaricabile in rete al suo indirizzo GitHub e consente diverse funzionalità di lavoro, sia a livello 4 del modello Osi (sui protocolli TCP/UDP), ma anche a livello 7, ovvero a livello applicativo, come si vede nelle istruzioni operative.
[Layer 7]
- cfb | Bypass CF attack
- pxcfb | Bypass CF attack with proxy
- cfpro | Bypass CF UAM, CAPTCHA, BFM, etc,, with request
- cfsoc | Bypass CF UAM, CAPTCHA, BFM, etc,, with socket
- pxsky | Bypass Google Project Shield, Vshield, DDoS Guard Free, CF NoSec With Proxy
- sky | Sky method without proxy
- get | Get Request Attack
- post | Post Request Attack
- head | Head Request Attack
- soc | Socket Attack
- pxraw | Proxy Request Attack
- pxsoc | Proxy Socket Attack
-bypass | Bypass Google Project Shield, Vshield
-stellar | HTTPS Sky method without proxies
- hulk | Hulk DoS tool
- pxraw | Proxy Request Attack
- pxslow | Proxy Slowloris attack
[Layer 4]
-udp | UDP Attack
-tcp | TCP Attack
-mine | Minecraft Dos attack
-vse | Send Valve Source Engine Protocol
[Tools]
- .proxy | Get VALID proxies into proxy.txt
- .proxies| Get ALL proxies into proxy.txt
- dns | Classic DNS Lookup
- geoip | Geo IP Address Lookup
- Subnet | Subnet IP Address Lookup
Also u can take proxy from https://checkerproxy.net/getAllProxy (push on your data)
Per chiarezza, l’Open Systems Interconnection model (modello OSI) è un modello concettuale che descrive lo standard universale delle comunicazione di un sistema informatico, senza soffermarsi sulla tecnologia sottostante e alle suite di protocolli specifici.
Ma proprio a livello 7 Killnet e Legion Russia hanno operato, fornendo dei parametri a Blood, per generare quelli che vengono chiamati “slow http attack”.
Gli attacchi “HTTP lenti” (in italiano), sono attacchi denial-of-service (DoS) dove l’attaccante invia le richieste HTTP a pezzi, molto lentamente, una alla volta ad un server Web.
Se una richiesta HTTP non è completa, o se la velocità di trasferimento è molto bassa, il server mantiene le sue risorse occupate in attesa che arrivino il resto dei dati.
Ma quando il pool di connessioni simultanee del server raggiunge il massimo delle allocazioni, il server collassa su se stesso generando un DoS.
Gli attacchi HTTP lenti sono facili da eseguire perché richiedono risorse minime da parte dell’attaccante e questo fa comprendere come l'”asimmetria” tra chi attacca e chi difende le infrastrutture, sempre di più si sta acutizzando.
Per proteggere il tuo server Web da attacchi HTTP lenti, si consiglia quanto segue:
L’uso delle direttive
Pertanto, utilizzare questi parametri insieme alle direttive
a seconda dei casi.
Ad esempio, è improbabile che la tua app Web richieda un’intestazione di 8190 byte, pertanto sono necessarie delle prove per inserire il parametro più corretto alle esigenze del traffico del server web.
Impostate anche valori di direttiva TimeOut e KeepAliveTimeOut ragionevoli. Il valore predefinito di 300 secondi per TimeOut è eccessivo per la maggior parte delle situazioni.
Il valore predefinito di ListenBackLog di 511 potrebbe essere aumentato, il che è utile quando il server non è in grado di accettare connessioni abbastanza veloci.
Aumentate la direttiva MaxRequestWorkers per consentire al server di gestire il numero massimo di connessioni simultanee.
Regolate anche la direttiva AcceptFilter, che è supportata su FreeBSD e Linux, e abilitate le ottimizzazioni specifiche del sistema operativo per un socket di ascolto in base al tipo di protocollo. Ad esempio, il filtro httpready Accept memorizza nel buffer intere richieste HTTP a livello di kernel.
Sono disponibili numerosi moduli Apache per ridurre al minimo la minaccia di attacchi HTTP lenti. Ad esempio, la direttiva RequestReadTimeout di mod_reqtimeout aiuta a controllare le connessioni lente impostando il timeout e la velocità dati minima per la ricezione delle richieste.
Raccomandiamo anche di passare Apache2 nella modalità MPM evento sperimentale, ove disponibile.
Questa modalità utilizza un thread dedicato per gestire i socket in ascolto e tutti i socket che si trovano in uno stato Keep Alive, il che significa che le connessioni incomplete utilizzano meno risorse durante il polling.
Limita i verbi accettati controllando la variabile $request_method.
Imposta client_max_body_size con un valore ragionevolmente piccolo, client_body_buffer_size, client_header_buffer_size, large_client_header_buffers aumentatelo se necessario.
Impostate client_body_timeout, client_header_timeout su valori ragionevolmente bassi.
Prendete in considerazione l’utilizzo di HttpLimitReqModule e HttpLimitZoneModule per limitare il numero di richieste o il numero di connessioni simultanee per una determinata sessione o, in casi speciale, con lo stesso indirizzo.
Configurate worker_processes e worker_connections in base al numero di CPU/core, disponibili. La formula è
max_clients = worker_processes * worker_connections
Impostate le proprietà connectionTimeout, HeaderWaitTimeout e MaxConnections in Metabase per ridurre al minimo l’impatto degli attacchi HTTP lenti.
Lavorare con Metabase può essere complicato, quindi raccomandiamo Microsoft Working with the Metabase Reference Guide.
Limitare gli attributi della richiesta avviene tramite l’elemento
Impostate
Ottimizzate gli attributi connectionTimeout, headerWaitTimeout e minBytesPerSecond degli elementi
Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...