R U Dead Yet (Já morreu)? Ataque (R.U.D.Y.)

R.U.D.Y. é uma ferramenta de ataque baixo e lento que imita o tráfego legítimo. Ela pode manter um servidor ligado indefinidamente.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir a ferramenta R.U.D.Y.
  • Descrever como o R.U.D.Y. é usado para interromper os serviços web
  • Delinear duas estratégias para mitigar os ataques de R.U.D.Y.

Copiar o link do artigo

O que é um ataque R.U.D.Y.?

O "R U Dead Yet?" ou R.U.D.Y. é uma ferramenta de ataque de negação de serviço que visa manter um servidor da web conectado, enviando dados de formulários em um ritmo absurdamente lento. A exploração R.U.D.Y. é classificada como ataque baixo e lento, uma vez que se concentra na criação de algumas solicitações demoradas, em vez de sobrecarregar um servidor com um alto volume de solicitações rápidas. Um ataque R.U.D.Y. bem-sucedido resultará na indisponibilidade do servidor de origem da vítima para o tráfego legítimo.

O software R.U.D.Y. inclui uma interface de apontar e clicar amigável, portanto, tudo que um invasor precisa fazer é apontar a ferramenta para um alvo vulnerável. Qualquer serviço da web que aceite entrada de formulários é vulnerável a um ataque R.U.D.Y., uma vez que a ferramenta funciona detectando campos de formulários e explorando o processo de envio de formulários.

Como funciona um ataque R.U.D.Y.?

Um ataque R.U.D.Y. pode ser dividido nas seguintes etapas:

  1. A ferramenta R.U.D.Y. rastreia o aplicativo da vítima em busca de um campo de formulário.
  2. Depois que um formulário é encontrado, a ferramenta cria uma solicitação HTTP POST para simular um envio de formulário legítimo. Essa solicitação POST contém um cabeçalho* que alerta o servidor de que uma parte muito longa de conteúdo está prestes a ser enviada.
  3. A ferramenta, então, arrasta o processo de envio dos dados do formulário dividindo-os em pacotes muito pequenos de 1 byte cada, enviando esses pacotes ao servidor em intervalos aleatórios de cerca de 10 segundos cada.
  4. A ferramenta continua enviando dados indefinidamente. O servidor web manterá a conexão aberta para aceitar os pacotes, já que o comportamento do ataque é semelhante ao de um usuário com baixa velocidade de conexão enviando dados do formulário. Enquanto isso, a capacidade do servidor web de lidar com o tráfego legítimo é prejudicada.

A ferramenta R.U.D.Y. pode criar simultaneamente várias dessas solicitações lentas, todas direcionadas a um servidor web. Como os servidores web só podem lidar com um determinado número de conexões de uma vez, é possível que o ataque R.U.D.Y. bloqueie todas as conexões disponíveis, o que significa que qualquer usuário legítimo que tentar acessar o servidor web terá o serviço negado. Mesmo um servidor web robusto com um grande número de conexões disponíveis pode ser derrubado pelo R.U.D.Y. por meio de uma rede de computadores conduzindo ataques simultaneamente, isso é conhecido como ataque Negação de Serviço Distribuída (DDoS).

*Os cabeçalhos HTTP são pares de chave/valor enviados com qualquer solicitação ou resposta de HTTP e fornecem informações vitais, como a versão HTTP usada, o idioma do conteúdo, a quantidade de conteúdo sendo entregue etc.

Como parar os ataques R.U.D.Y.

Como os ataques lentos e baixos são executados de maneira muito mais sutil do que os ataques tradicionais de negação de serviço, eles podem ser difíceis de detectar, mas podem ser implementadas proteções para evitá-los. Uma dessas medidas de prevenção é definir intervalos para exceder o tempo limite de conexão mais rígidos em um servidor web, o que significa que as conexões mais lentas serão interrompidas. Essa solução tem um efeito colateral: usuários legítimos com conexões lentas de internet podem ter o serviço negado pelo servidor. Como alternativa, uma solução de proxy reverso, como a proteção contra DDoS da Cloudflare, pode filtrar o tráfego de ataques lento e baixo, como o R.U.D.Y., sem desconectar usuários legítimos.