HTTP POST DDOS (někdy také označován jako slow HTTP attack) je velice jednoduchý útok, který se objevil poprvé v roce 2009. Jeho účelem je obsadit všechny volné spojení se serverem anebo vyčerpat systémové zdroje.

Jak už název napovídá k útoku se používá metoda POST. Útočník pošle jako součást hlavičky (header) Content-Length, která specifikuje velikost odesílaných data, něco značně velkého, na co si musí server vyčlenit dostatek prostředků. Například 100 MB. Následně data od útočníka k serveru proudí velice pomalu. Třeba 1 znak za minutu. Vzhledem k tomu, že vše vypadá důvěryhodně, server poslušně čeká, než se vše načte, aby mohl dotaz vyhodnotit. Tím však váže zdroje k tomu potřebné. Pro útočníka je ovšem tento útok „levný“. Nepotřebuje moc paketů ani rychlou linku. Může navazovat další a další spojení.

Průměrný prohlížeč otevře 6 – 8 spojení, kdy kromě skriptů požaduje i statický obsah jako jsou obrázky, soubory s javascript, css a tak dále. Nejrozšířenější server Apache v základním nastavení zvládne mít otevřeno 150 spojení. Samozřejmě tato hodnota se u moderních výkonných serverů navyšuje podle potřeby. Na tyto servery je pak potřeba více útočících strojů.

Obrana proti tomuto druhu útoku je náročná, protože se tváří legitimně. Nepřenáší se velká data ani moc paketů. Mezi základní ochranu patří omezení velikosti Content-Length. Pokud vaši návštěvníci nic nenahrávají, tak jim na běžné formuláře stačí kilobajty. Tento druh útoků také často cílí na neexistující či nesmyslné stránky. V případě útoku můžete zakazovat takovéto připojení. Určitě pomůže i nastavení maximálního timeout u spojení. Nesmíte to ale přehnat, abyste nepřišli o regulérní návštěvníky. K dispozici máte určitě statistiky a znáte průměrnou i maximální délku pro načtení stránek.

Tento článek byl byl přečten 3107 krát