DoS y las debilidades del SSL

Hacia un buen tiempo que no ingresaba algo tecnico al blog, por lo que creo que es el momento ideal para comenzar con algo que vimos con la ultima Charla que dicto mi hermano David Pereira. la denegacion de Servicio haciendo uso del SSL.

Usualmente vemos herramientas que usando varios equipos pueden llenar el buffer de conexiones de un servidor y hacer que este deje de funcionar: esta LOIC (Usado mucho por anonymous) o WebHive (Su version Web), Slowloris para apache, Hulk, R-u-Dead-Yet y un sin fin de herramientas, pero me parece que una herramienta que haga uso del CPU de un servidor hasta el 90% o mas usando 1 solo equipo es algo para preocupar seriamente.

Los amigos de THC liberaron el año pasado una herramienta para la denegacion de servicio usando el Handshake del SSL. (ver imagen) el cual a muchos les parecera muy similar al Handshake de TCP/IP donde hay un SYN, SYN/ACK y ACK.

El ataque realiza una re-negociacion, dejando al servidor a la espera de la respuesta del atacante, mientras se continuan enviando sessiones y al hacer esto se comienza a llenar el CPU de un servidor, de la misma forma como se llenan las sessiones con falsas peticiones de Handshake TCP/IP con las herramientas normales de DoS.

Aca las conclusiones de lo que hice en un ambiente de producción:

El Servidor es un Intel Xeon de 3Ghz con 8GB de RAM corriendo Windows 2003 Server y que normalmente no supera el 5% de uso de su CPU. y aca donde comenzamos el ataque:

 

 

 

 

 

 

 

 

 

 

 

Como se puede observar el CPU se eleva hasta el 100% y solo es 1 PC (mi equipo) en sistemas donde se puede acceder a miles de equipos (como suelen ser los ataques de DDoS) esto es muchisimo mas grave.

Aqui cuando paro el ataque, se puede observar como baja el uso de CPU:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Interesante... no les parece?

Saludos

Manuel Moreno