.تعمیـــرکاران کیان ست (kiansat.kim)تابع قوانین -جمهموری-اسلامی ایران میباشد و ارسال هر گونه مطلب سیاسی،مذهبی،غیراخلاقی و خرید و فروش متعلقات ماه-واره و دیگر موارد مجرمانه ممنوع میباشد وبا کاربران خاطی به شدت برخورد میگردد انجمن فقط تعمیرات لوازم الکترونیک میباشد...













سلام مهمان گرامی؛
به کیان ست خوش آمدید برای مشاهده انجمن با امکانات کامل می بايست از طريق این لینک عضو شوید.

http://teranzit.pw/uploads/14469017281.png
پیام خصوصی به مدیریت کل سایت ........... صفحه توضیحات و شرایط گروه ویژه ........... ...........
ارتباط تلگرامی با مدیریت سایت ................. ایدی تلگرام suportripair@ .................
نمایش نتایج: از شماره 1 تا 1 , از مجموع 1

موضوع: شرح حمله DOS هوشمندانه HTTP Slow Post

  1. #1


    تاریخ عضویت
    May 2010
    محل سکونت
    جزیره قشم
    سن
    33
    نوشته ها
    842
    تشکر ها
    1,125
    5,560 سپاس از804 پست

    پیش فرض شرح حمله DOS هوشمندانه HTTP Slow Post

    بسمه تعالی
    نام این تکنیک حمله در اصطلاح ، تکنیک HTTP Slow Post میباشد ، با استفاده از این روش حمله، عملاً درخواست هایی خاص برای دریافت (یا ارسال) اطلاعات به سمت سرور هدایت می شود ، قبل از شروع با هم نگاهی به فرایند های انجام ارسال و دریافت درخواست در بیاندازیم :



    • ارتباطات تحت وب، با استفاده از پروتکل های مختلفی امکان پذیر است.
    • پر استفاده ترین پروتکل، پروتکل HTTP می باشد
    • در ارتباطات HTTP، اطلاعاتی از سمت سرور به مشتری و بالعکس در قالب یک سری پیام ، ارسال می شود.
    • پیام های HTTP به دو دسته تقسیم می شود:
      • HTTP Request (از طرف مشتری به سرویس دهنده وب ارسال می شود)
      • HTTP Response(از طرف سرویس دهنده وب به مشتری ارسال می شود)





    • پیام های request (درخواست) و Response (پاسخ)، در قالب استاندارد و خاصّی ارسال می شود .
    • در این قالب، قسمتی مخصوص قرار گیری یک سری اطلاعات کنترلی قرار دارد.
    • این اطلاعات کنترلی، رفتار وب سرور و مشتری را مشخص می کند.
    • به این اطلاعات کنترلی، Header گفته می شود.
    • در هر دو نوع پیام های درخواست و پاسخ، قسمتی مخصوص Header (سرآمد) قرار دارد.
    • شکل کلی یک بسته HTTP به صورت زیر است :

    در شکل زیر یک درخواست ارسال شده توسط کلاینت به سرور HTTP را همراه با سرآیند های HTTP مشاهده مینمایید :


    • با توجه به اطلاعات قرار داده شده در سرآیند ها، سرویس دهنده و مشتری در مورد نحوۀ ادامه ارتباط با یکدیگر تصمیم خواهند گرفت.
    • یکی از فیلد های سرآیند که در هر دو نوع بسته های پیام HTTP در حالت موجود است، Content-Length می باشد.
    • این فیلد، مشخص کنندۀ طول اطلاعاتی است که در بدنۀ اصلی پیام قرار می گیرد. در حالت ارسال اطلاعات به صورت POST این اطلاعات از طرف کلاینت مشخص شده ، و در همه حالات برگشت اطلاعات از سمت سرور این مقدار نشان دهنده مقدار اطلاعات برگشتی است .
    • در صورتی که طول این فیلد، بیشتر از طولی باشد که به عنوان حد اکثر طول پیام در نظر گرفته شده، گیرندۀ پیام، منتظر می ماند تا ادامۀ پیام در بسته های بعدی دریافت شود.
    • در طول زمان انتظار، نشستی که برقرار شده، به صورت باز باقی خواهد ماند.



    نکتۀ قابل توجه در این نوع حمله، استفاده از ویژگی خودِ پروتکل http است. در این حمله، سرآیند بسته های http که برای سرور ارسال می شود، به گونه ای تنظیم می شود که سرور همواره در حالت انتظار برای دریافت (ارسال) ادامه اطلاعات باقی خواهد ماند. بدین ترتیب، میزان بار تحمیل شده به سرور، به مرور افزایش یافته و علیرغم اینکه ترافیک خاصّی در شبکه مبادله نمی شود (بر عکس حملات DDOS یا همان حملات تکذیب سرویس توزیع شده ، که پهنای باند قربانی را مشغول کرده و ترافیک را در اصطلاح میخورند )، سیستم سرور به علّت افزایش بیش از حدّ ارتباطات کم سرعت، قادر به پاسخگویی به مشتریان واقعی نخواهد بود. (IIS به صورت پیش فرض یک مقدار مشخص از تعداد کانکشن ها را میتواند در لحظه ساپورت کند ، چون برای هر کدام از این Thread ها یا همان درخواست های موازی فرستاده شده ، یک مقدار CPU و RAM اختصاص میدهد . در صورت پر شدن ظرفیت های سیستم ، دیگر قادر به پاسخ گویی به شما نیست ) .
    از دیدگاه فنی، این حمله با تنظیم فیلدِ Content-length در سرآیند بسته های HTTP Request انجام خواهد شد. بدین ترتیب، با تنظیم این فیلد به یک مقدار بسیار بزرگ (مثلاً 1000000)، به سرور اعلام می کنیم که اطلاعاتی که قرار است به سرور ارسال شود، حجم بالایی دارند. از طرفی پس از برقراری ارتباط و ارسال کامل بسته های HTTP Request اطلاعاتی که بنا بود به سرور ارسال شود، در قالب چندین هزار بستۀ کوچک و با فاصلۀ زمانی نسبتاً زیاد (هر 110 ثانیه 1 بایت ) از یکدیگر به سمت سرور ارسال می شود. لازم به ذکر است که در این حمله، از شیوۀ POST برای برقراری ارتباط با سرور استفاده می شود. بدین ترتیب هر ارتباط کاملاً پایدار بوده و دقیقاً مشابه زمانی است که یک کاربر قصد مرور اطلاعات سرور را از طریق خطوط کم سرعت Dial-Up داشته باشد.

    این حمله در کنفرانس BlackHat سال 2011 به صورت کلی معرفی شد و نکتۀ حائز اهمیت در مورد آن، این است که با توجه به اینکه این حمله، عملاً با سوء استفاده از خودِ پروتکلِ HTTP انجام می شود.
    مراحل انجام این حمله :
    ابتدا می بایست آدرس یک صفحه از سایت مورد نظر که حاوی فرم های قابل استفاده در متد POST می باشد را شناسایی نمود Click here to enlargeالبته این کار برای محکم کاری انجام می شود )
    سپس می توان با تنظیم پارامتر های دلخواه و ساخت بسته های مورد نظر، حمله را شروع نمود. در این حمله از ابزار ارائه شده توسط OWASP استفاده شده است :
    حمله را با توجه به Help برنامه به صورت یک bash فایل در آورده و اتوماتیک تر میکنیم :
    کد:
    
    :while @echo off http_dos_cli.exe --host www.victim.com --port 80  --slow-post --connections 1000 --rate 20 --timeout 100 --path  /register.aspx --post-content-length 1000000  --random-post-content-length --random-payload --post-field  ctl00_RadFormDecorator1_ClientState @goto while :wend
    بدین ترتیب با شروع حمله و رسیدن تعداد ارتباطات به میزان تنظیم شده، سیستم سرور دیگر قادر به پاسخگویی به درخواست های جدید نخواهد بود.


  2. نمایش تمام تشکر های حامد کیانمهر در این پست:

    medaligh (12th April 2013)

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  


Copyright ©2000 - 2013, Jelsoft Enterprises Ltd کیــــــــــان ستـــــــــــ ...® اولین و بزرگترین سایت فوق تخصصی الکترونیک در ایران



Cultural Forum | Study at Malaysian University