Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

QA Fest 2018. Денис Жевнер. 56k Denial of Service

29 views

Published on

В XXI веке Интернет опутывает нас все сильнее с каждым днем. Вы можете представить себя хотябы пару часов без чатиков, почты, фейсбучка и инстаграмма? Готов поспорить, что да. Но! Задумывались ли Вы, насколько хрупкой может быть сеть? Что если, для того чтобы все сломать, не нужно прилагать много усилий? Каковы шансы увидеть "500 Internal Server Error" на Вашем любимом сайте, когда Вы зайдете за новой порцией милых котиков?
Этот доклад об уязвимостях HTTP, которые мешают нам жить полноценной сетевой жизнью. Им не нужны огромные ресурсы и достаточно минимального интернет-канала чтобы привести к отказу в обслуживании. И это риск, о котором Вы должны знать, чтобы быть в безопасности. Мы рассмотрим разные типы атак, найдем схожее и поймем разницу. Поближе познакомимся с их внутренними механизмами, поймем почему это вообще стало возможным и "как это работает" (с). Так же, мы научимся проверять уязвимости наших серверов и сервисов, устранять риски. Пополним свой инструментарий и, конечно же, направим всю эту энергию в мирное русло, что поможет тем, кто так или иначе работает с тестированием веб.

Published in: Education
  • Be the first to comment

  • Be the first to like this

QA Fest 2018. Денис Жевнер. 56k Denial of Service

  1. 1. QA Fest , Kyiv 2018 56K DoS
  2. 2. QA Fest , Kyiv 2018 Denys Zhevner ✖ Senior Troll QA; ✖ The prisoner of Azkaban Enterprise; ✖ Open Source evangelist; ✖ Old good paranoid;
  3. 3. QA Fest , Kyiv 2018 DoS }{@ckEr: я новый нюк нашел, ща всех поубиваю!!! }{@ckEr: дайте IP какого-нить лоха!!! Tr011: 127.0.0.1 }{@ckEr: Пасиба! щас он подохнет!!!11 *}{@ckEr went offline. © somewhere on the internet
  4. 4. QA Fest , Kyiv 2018 Agenda: ✘ DoS, DDoS; ✘ OSI; ✘ Level 7 DoS; ✘ Slow and Low; ✘ How it works? ✘ How to test? ✘ How to mitigate;
  5. 5. QA Fest , Kyiv 2018 DoS
  6. 6. QA Fest , Kyiv 2018 DDoS
  7. 7. QA Fest , Kyiv 2018 OSI
  8. 8. QA Fest , Kyiv 2018 Classic DDoS
  9. 9. QA Fest , Kyiv 2018 OSI
  10. 10. QA Fest , Kyiv 2018 Level 7 (HTTP) (D)DoS
  11. 11. QA Fest , Kyiv 2018 Slow and Low
  12. 12. QA Fest , Kyiv 2018 Slow and Low
  13. 13. QA Fest , Kyiv 2018 Affected web servers
  14. 14. QA Fest , Kyiv 2018 Types of attacks Slow HTTP Post (R-U-Dead- Yet) Slow Read Slow SSL Slow Loris (Slow headers)
  15. 15. QA Fest , Kyiv 2018 How does it work? Open connection to the server Send partial request data/header Never complete the request
  16. 16. QA Fest , Kyiv 2018 How does it work?
  17. 17. QA Fest , Kyiv 2018 “Features” ✘ Uses legitimate Level 4 (TCP) traffic; ✘ Mimics legitimate Level 7 (HTTP) traffic; ✘ Requires extremely low link bandwidth; ✘ Works with proxy, VPN, TOR, etc. ✘ Low local resources utilization; ✘ Cross tech, platforms, agentless; ✘ Scalable to other L7 protocols / apps;
  18. 18. QA Fest , Kyiv 2018 Tools to use ✘ Slow HTTP Test ✘ R.U.D.Y. ✘ OWASP HTTP Post Tool ✘ Slowloris ✘ Burp Suite
  19. 19. QA Fest , Kyiv 2018 Let’s try ;) http://qafest.biz.tm
  20. 20. QA Fest , Kyiv 2018 Ways to mitigate ✘ Limit request body/headers size; ✘ Limit connections from one IP; ✘ Identify common legitimate requests speed; ✘ Increase maximum connections allowed; ✘ Use Reverse Proxy; ✘ Firewalls, load balancers, etc
  21. 21. QA Fest , Kyiv 2018 thanks! Any questions? You can find me at denys.zhevner@globallogic.com Skype: denis.zhevner FaceBook: denis.v.zhevner

×