Содержание статьи
Что такое Slowloris?
Slowloris - это программа для DDoS-атак, разработанная Робертом «RSnake» Хансеном, которая позволяет одному компьютеру вывести из строя веб-сервер. Из-за простой, но элегантной природы этой атаки она требует минимальной полосы пропускания для реализации и затрагивает только веб-сервер целевого сервера, почти не вызывая побочных эффектов для других служб и портов.
Slowloris доказал свою высокую эффективность против многих популярных типов программного обеспечения веб-серверов, включая Apache 1.x и 2.x.
На протяжении многих лет Slowloris неоднократно совершал громкие разрушения серверов. Примечательно, что он широко использовался иранскими «хакерами» после президентских выборов 2009 года в Иране для атак на веб-сайты иранского правительства.
Описание атаки
Slowloris работает, открывая несколько подключений к целевому веб-серверу и сохраняя их открытыми как можно дольше. Он делает это путем непрерывной отправки частичных HTTP-запросов, ни один из которых никогда не завершается. Атакованные серверы открываются больше, и соединения открываются, ожидая завершения каждого из запросов атаки.
Периодически Slowloris отправляет последующие заголовки HTTP для каждого запроса, но никогда не выполняет запрос. В конечном итоге максимальный пул одновременных подключений целевого сервера заполняется, а дополнительные (законные) попытки подключения отклоняются.
Отправляя частичные, а не искаженные пакеты, Slowloris может легко проскользнуть мимо традиционных систем обнаружения вторжений.
Названный в честь медленного передвижения азиатских приматов, Slowloris действительно выигрывает гонку, двигаясь медленно и неуклонно. Атака Slowloris должна дождаться освобождения сокетов по законным запросам, прежде чем использовать их один за другим.
Для массового веб-сайта это может занять некоторое время. Процесс может быть еще более замедлен, если законные сеансы будут повторно инициированы. Но, в конце концов, если атака не будет ослаблена, Slowloris, как и черепаха, побеждает в гонке.
Incapsula смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Если не выявить или не смягчить приступы Slowloris, они могут продолжаться в течение длительного периода времени. По истечении времени ожидания атакованных сокетов Slowloris просто повторно инициирует соединения, продолжая максимально загружать веб-сервер до тех пор, пока не будет устранен.
Созданный для скрытности и эффективности, Slowloris можно модифицировать для отправки разных заголовков хоста в случае, если виртуальный хост является целью, и журналы хранятся отдельно для каждого виртуального хоста.
Что еще более важно, в ходе атаки Slowloris может быть настроен на подавление создания файла журнала. Это означает, что атака может застать неконтролируемые серверы врасплох, без каких-либо красных флажков в записях файла журнала.
Методы смягчения
Службы безопасности задействованы с помощью технологии обратного прокси, используемой для проверки всех входящих запросов на их пути к серверам клиентов.
Защищенный прокси-сервер не будет пересылать какие-либо частичные запросы на соединение, что делает все попытки DDoS-атак Slowloris полностью и совершенно бесполезными.
- Что такое Slowloris?
- Описание атаки
- Методы смягчения
Что такое Slowloris?
Slowloris - это программа для DDoS-атак, разработанная Робертом «RSnake» Хансеном, которая позволяет одному компьютеру вывести из строя веб-сервер. Из-за простой, но элегантной природы этой атаки она требует минимальной полосы пропускания для реализации и затрагивает только веб-сервер целевого сервера, почти не вызывая побочных эффектов для других служб и портов.
Slowloris доказал свою высокую эффективность против многих популярных типов программного обеспечения веб-серверов, включая Apache 1.x и 2.x.
На протяжении многих лет Slowloris неоднократно совершал громкие разрушения серверов. Примечательно, что он широко использовался иранскими «хакерами» после президентских выборов 2009 года в Иране для атак на веб-сайты иранского правительства.
Описание атаки
Slowloris работает, открывая несколько подключений к целевому веб-серверу и сохраняя их открытыми как можно дольше. Он делает это путем непрерывной отправки частичных HTTP-запросов, ни один из которых никогда не завершается. Атакованные серверы открываются больше, и соединения открываются, ожидая завершения каждого из запросов атаки.
Периодически Slowloris отправляет последующие заголовки HTTP для каждого запроса, но никогда не выполняет запрос. В конечном итоге максимальный пул одновременных подключений целевого сервера заполняется, а дополнительные (законные) попытки подключения отклоняются.
Отправляя частичные, а не искаженные пакеты, Slowloris может легко проскользнуть мимо традиционных систем обнаружения вторжений.
Названный в честь медленного передвижения азиатских приматов, Slowloris действительно выигрывает гонку, двигаясь медленно и неуклонно. Атака Slowloris должна дождаться освобождения сокетов по законным запросам, прежде чем использовать их один за другим.
Для массового веб-сайта это может занять некоторое время. Процесс может быть еще более замедлен, если законные сеансы будут повторно инициированы. Но, в конце концов, если атака не будет ослаблена, Slowloris, как и черепаха, побеждает в гонке.
Incapsula смягчает массивный HTTP-поток: 690 000 000 DDoS-запросов с 180 000 IP-адресов ботнетов.
Если не выявить или не смягчить приступы Slowloris, они могут продолжаться в течение длительного периода времени. По истечении времени ожидания атакованных сокетов Slowloris просто повторно инициирует соединения, продолжая максимально загружать веб-сервер до тех пор, пока не будет устранен.
Созданный для скрытности и эффективности, Slowloris можно модифицировать для отправки разных заголовков хоста в случае, если виртуальный хост является целью, и журналы хранятся отдельно для каждого виртуального хоста.
Что еще более важно, в ходе атаки Slowloris может быть настроен на подавление создания файла журнала. Это означает, что атака может застать неконтролируемые серверы врасплох, без каких-либо красных флажков в записях файла журнала.
Методы смягчения
Службы безопасности задействованы с помощью технологии обратного прокси, используемой для проверки всех входящих запросов на их пути к серверам клиентов.
Защищенный прокси-сервер не будет пересылать какие-либо частичные запросы на соединение, что делает все попытки DDoS-атак Slowloris полностью и совершенно бесполезными.
