QA Fest 2018. Денис Жевнер. 56k Denial of Service
В XXI веке Интернет опутывает нас все сильнее с каждым днем. Вы можете представить себя хотябы пару часов без чатиков, почты, фейсбучка и инстаграмма? Готов поспорить, что да. Но! Задумывались ли Вы, насколько хрупкой может быть сеть? Что если, для того чтобы все сломать, не нужно прилагать много усилий? Каковы шансы увидеть "500 Internal Server Error" на Вашем любимом сайте, когда Вы зайдете за новой порцией милых котиков? Этот доклад об уязвимостях HTTP, которые мешают нам жить полноценной сетевой жизнью. Им не нужны огромные ресурсы и достаточно минимального интернет-канала чтобы привести к отказу в обслуживании. И это риск, о котором Вы должны знать, чтобы быть в безопасности. Мы рассмотрим разные типы атак, найдем схожее и поймем разницу. Поближе познакомимся с их внутренними механизмами, поймем почему это вообще стало возможным и "как это работает" (с). Так же, мы научимся проверять уязвимости наших серверов и сервисов, устранять риски. Пополним свой инструментарий и, конечно же, направим всю эту энергию в мирное русло, что поможет тем, кто так или иначе работает с тестированием веб.
Recommended
More Related Content
What's hot
More from QAFest
Recently uploaded
QA Fest 2018. Денис Жевнер. 56k Denial of Service
- 1. QA Fest , Kyiv 2018 56K DoS
- 2. QA Fest , Kyiv 2018 Denys Zhevner ✖ Senior Troll QA; ✖ The prisoner of Azkaban Enterprise; ✖ Open Source evangelist; ✖ Old good paranoid;
- 3. QA Fest , Kyiv 2018 DoS }{@ckEr: я новый нюк нашел, ща всех поубиваю!!! }{@ckEr: дайте IP какого-нить лоха!!! Tr011: 127.0.0.1 }{@ckEr: Пасиба! щас он подохнет!!!11 *}{@ckEr went offline. © somewhere on the internet
- 4. QA Fest , Kyiv 2018 Agenda: ✘ DoS, DDoS; ✘ OSI; ✘ Level 7 DoS; ✘ Slow and Low; ✘ How it works? ✘ How to test? ✘ How to mitigate;
- 5. QA Fest , Kyiv 2018 DoS
- 6. QA Fest , Kyiv 2018 DDoS
- 7. QA Fest , Kyiv 2018 OSI
- 8. QA Fest , Kyiv 2018 Classic DDoS
- 9. QA Fest , Kyiv 2018 OSI
- 10. QA Fest , Kyiv 2018 Level 7 (HTTP) (D)DoS
- 11. QA Fest , Kyiv 2018 Slow and Low
- 12. QA Fest , Kyiv 2018 Slow and Low
- 13. QA Fest , Kyiv 2018 Affected web servers
- 14. QA Fest , Kyiv 2018 Types of attacks Slow HTTP Post (R-U-Dead- Yet) Slow Read Slow SSL Slow Loris (Slow headers)
- 15. QA Fest , Kyiv 2018 How does it work? Open connection to the server Send partial request data/header Never complete the request
- 16. QA Fest , Kyiv 2018 How does it work?
- 17. QA Fest , Kyiv 2018 “Features” ✘ Uses legitimate Level 4 (TCP) traffic; ✘ Mimics legitimate Level 7 (HTTP) traffic; ✘ Requires extremely low link bandwidth; ✘ Works with proxy, VPN, TOR, etc. ✘ Low local resources utilization; ✘ Cross tech, platforms, agentless; ✘ Scalable to other L7 protocols / apps;
- 18. QA Fest , Kyiv 2018 Tools to use ✘ Slow HTTP Test ✘ R.U.D.Y. ✘ OWASP HTTP Post Tool ✘ Slowloris ✘ Burp Suite
- 19. QA Fest , Kyiv 2018 Let’s try ;) http://qafest.biz.tm
- 20. QA Fest , Kyiv 2018 Ways to mitigate ✘ Limit request body/headers size; ✘ Limit connections from one IP; ✘ Identify common legitimate requests speed; ✘ Increase maximum connections allowed; ✘ Use Reverse Proxy; ✘ Firewalls, load balancers, etc
- 21. QA Fest , Kyiv 2018 thanks! Any questions? You can find me at denys.zhevner@globallogic.com Skype: denis.zhevner FaceBook: denis.v.zhevner