Gli open proxy sono il mezzo di diffusione più potente per qualsiasi tipo di attacco informatico. Ecco come avviene un tentativo di connessione ad un proxy Http (fortunatamente non configurato per questo utilizzo).
Lo scopo dell’attaccante è utilizzare il proxy per la connessione ad un server di posta ed inviare uno o più messaggi di spam.
L’attaccante A tenta di collegarsi alla porta 80 della vittima B eseguendo una chiamata di tipo CONNECT. CONNECT è un metodo HTTP che trasforma ogni connessione in un tunnel TCP/IP allo scopo di instradare una tot quantità di traffico attraverso il proxy.
L’host vittima qui citato non è però configurato come proxy.Si tratta di un normale web server su cui sono attivi uno o più siti web.Non è configurato dunque per trattare richieste di tipo CONNECT.
L’attaccante rimane perciò a bocca asciutta, lasciando una traccia all’interno dei log di Apache.
Il web server risponderà ad ogni richiesta con un 400 bad request.
Curiosità
Il modo più semplice per lanciare attacchi automatizzati ad un web server resta ancora telnet :
# telnet 78.46.27.209 80 Trying 78.46.27.209... Connected to 78.46.27.209. Escape character is '^]'. CONNECT 203.188.201.253:25 HTTP/1.1 HTTP/1.1 400 Bad Request
E’ anche per questo motivo se una delle attuali tendenze da parte degli attaccanti è scandagliare la rete alla ricerca di host sui quali è attivo un servizio telnet sulla porta 23. Utilizzare questo debole canale di comunicazione per lanciare attacchi verso terzi resta ancora uno dei metodi più efficaci.
