Devesecops — Segurança Para devs (6 серий части)
Английская версия доступна здесь
Este Post Faz Parte de Uma Coleção de Postes Sobre Segurança de Software Ao Longo Do Processo de desenvollimento E Operação (Devesecops). O Tipo de VulnerabiliDade Abordado Neste Artigo É Negação de Serviço Através da Exploração Por Raveisições Pesadas (полезная нагрузка).
SE VOCO NãO LEU O PLAYIRO ARTIGO DA SÉRIE DE DOS, RECOMENDO SUA LEITURA ANTES DE CONNUAR, POIS ALI SãO EXPLASHADOS ALGUNS Conceitos GATEES, COMO O PROROIO DOS E LOGE DE ACESSOS!
Certa Vez, Enquanto Homologava UM Site Para Chief O Selo SiteBlindado. Выполненные UMA Notifetação de Que Várias Operações do Sistema Estavam Suscetíveis Получатель Em Tráfego Muito Maior de Doados do Que de Fato OutiTavam. Poi Então que Precisei Configurar Limites Esperyficos Para Tamanhos de requisições e me dei conta que esta é uma boa proteção contra dos.
COMO Идентифицирован UM DOS POR REQUISIçõES PESADAS
Maneira Mais Eficaz Para Идентифицированная Este Ataque é Analisando O Таманхо Дас Реквизисис que seus servidores estão diewbendo. ESTA Informação Geralmente Está Disponível NOS Formatadores DOS Logs de Acesso (POR Exemplo, NO NGINX USA-SE A Variável $ request_length ). Log de Tráfego Normal Seria:
2020-06-05T10:14:02Z GET / 1.1.1.1 459 "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0" 2020-06-05T10:15:23Z GET /products 2.2.2.2 257 "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1" 2020-06-05T10:16:53Z POST /admin 3.3.3.3 523 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:17:20Z GET / 4.4.4.4 289 "Mozilla/5.0 (Android 4.4.2; Tablet; rv:65.0) Gecko/65.0 Firefox/65.0" 2020-06-05T10:18:22Z GET / 5.5.5.5 336 "Mozilla/5.0 (Android 4.4.2; Tablet; rv:65.0) Gecko/65.0 Firefox/65.0" 2020-06-05T10:19:11Z GET /products 318 6.6.6.6 "Mozilla/5.0 (Linux; U; Android 5.0.2; en-US; XT1068 Build/LXB22.46-28) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 UCBrowser/12.10.2.1164 Mobile Safari/537.36"
Informação Mais Gathere Neste Caso é é o número entre o IP Do Cliente que enviou aquisição e o valor do cabeçalho Пользовательский агент Отказ Por Exemplo, Na Terceira Requisição, Este Número é 523. É O Tamanho Total Da Requisiçãão em bytes, inkluindo cabeçalhos e corpo.
Caso O Seu Seviço Esteja Sofrendo Tentativas de Ataque Com Requisições Peasadas, VOCê Perceberá Uma Diferença Grande Entre ou Tamanho Normal Das Suas Requisições E O Que Está Tensbendo Durante O Ataque. POR ISSO A orizencia de Conhecer OS Limites Normais Do Seu Software. Quanto Costuma Ser, Em um Tráfego de Operação Normal, O Tamanho Das Suas Requisições? . Nesta Situação, Poderíamos Ter Um Aumento No Tamanho dom Terceira Requisiçãão (Normormente Estes ataques utilizam OS Seus recursos que aceitam postagem de dados, como upload de images ou cadastramento de formulários):
2020-06-05T10:16:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0"
Neste Novo Log, TiveMos UM Aummo No Tamanho Da Requisição, Индо де ~ 0,5 кБ пункт 9 МБ Действительно Джераментинг Эсте Синтома VEM Acompanhado da Repetição da quisição por várias vezes (o que abordamos Нет Paillio Post):
2020-06-05T10:14:02Z GET / 1.1.1.1 459 "Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Firefox/45.0" 2020-06-05T10:15:23Z GET /products 2.2.2.2 257 "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1" 2020-06-05T10:16:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:17:20Z GET / 4.4.4.4 289 "Mozilla/5.0 (Android 4.4.2; Tablet; rv:65.0) Gecko/65.0 Firefox/65.0" 2020-06-05T10:18:22Z GET / 5.5.5.5 336 "Mozilla/5.0 (Android 4.4.2; Tablet; rv:65.0) Gecko/65.0 Firefox/65.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:18:53Z POST /admin 3.3.3.3 9000000 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:58.0) Gecko/20100101 Firefox/58.0" 2020-06-05T10:19:11Z GET /products 318 6.6.6.6 "Mozilla/5.0 (Linux; U; Android 5.0.2; en-US; XT1068 Build/LXB22.46-28) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 UCBrowser/12.10.2.1164 Mobile Safari/537.36"
Algo Não Está Certo Neste Tipo de Auamento General E Repetitivo. É Hora de Agir!
Configurando Corretamente OS Limites DOS Seus Servidores
Solução Para Mitigar Esta Explooração É Estabelecer Ограничивает Para Os Tamanhos de Requisições, Evitando Assim Que Seus Servidores Trabalhem Desnecessarate EM Requisições PESADAS E EXCEDAM O Нормальный Aceitável Para A Operação Do Serviço.
POODE Configurarar Estes Limites de «Fora Para Dentro», Desde Firewalls Cloud (Como O AWS WAF, Akamai Web Protector E CloudFlare WAF) Até Seus Servidores de Proxy Reverso OU DE Aloxação. Grande Maioria Dos Servidores Fornece Opção de Limitar o Tamanho Das Requisições. Вау Цитар Альгунс, EM Camadas Diferentes Da Arquitetura:
- Limitando нет брандмауэра;
- Limitando No Proxy Reverso Ou Balancer;
- Limitando No Servidor de Aloxação;
- Limitando No Código Da Aloxação;
Вывод
- Monitore Constantemente Sua Applicação e Seus Servidores;
- ОС Conheça Limites Normais Da Sua Applicação;
- Caso Vovê Esteja Sofrendo Ataques, Saber o Tamanho Do Seu Tráfego Normal Facilitará Bastante Na IdentialiAção.
- Adotoote Философия де «Limitar Por Baixo Até Que Seja BeanaRio»;
- Estabeleça Limites Pequenos Para OS Tamanhos Das Suas Requisições (Мельхор Дика-Эстабелекер Ума Média de Tamanho Com Base NoS Seus Pontos de Entrada Que Release Maior quantidade de dados).
- Auampee Estes Limites de Forma Granual E Esserica (POR Ex: SE VOCê Precisa Fazer Загрузить de Arquivos, Ajuste A Configuração Para Para Permitir UM Limite Maior Esperificatee NA Operação de Загрузка).
Devesecops — Segurança Para devs (6 серий части)
Оригинал: «https://dev.to/bernardobrezende/devsecops-dos-ataque-de-payload-pesado-parte-2-123m»