Selam, bugün biraz farklı bi konuya değinmek istedim. Çoğu insan hâlâ klasik DDoS veya yavaşloris tarzı saldırıları düşünüyo ama son dönemde HTTP/2 protokolünün reset frame’lerini kullanarak ciddi oranda WAF’ları atlatmak mümkün hale geldi. Özellikle Cloudflare ve Akamai’nin bazı eski konfigürasyonlarında iş görüyo.
Konu kısaca şöyle: normalde bir bağlantı üzerinden yüzlerce istek atınca rate-limit yersin. Ama RST_STREAM frame’lerini doğru şekilde kullanırsan, sunucu bağlantıyı hemen kapatmadan önce yeni istekleri kabul etmeye devam edebiliyor. Bu da detection mekanizmalarını epey zorluyo.
Tabii ki production’da daha fazla tweak gerekiyor, özellikle window size ve concurrent stream limitlerini ayarlamak lazım. Birkaç test ortamında 40-50k reset frame ile WAF’ın log mekanizmasını bypass edebildim. İlgilenenler için daha detaylı packet capture’ları da paylaşabilirim.
Konu kısaca şöyle: normalde bir bağlantı üzerinden yüzlerce istek atınca rate-limit yersin. Ama RST_STREAM frame’lerini doğru şekilde kullanırsan, sunucu bağlantıyı hemen kapatmadan önce yeni istekleri kabul etmeye devam edebiliyor. Bu da detection mekanizmalarını epey zorluyo.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Bu içeriği görmek için giriş yapın.