Atak Slowloris


Atak Slowloris

W 2009 roku w Iranie miała miejsce seria incydentów cyberbezpieczeństwa, które zostały przeprowadzone przeciwko irańskim stronom rządowym przez hakerów w regionie. Podstawowa forma ataku? Coś zwanego atakiem Slowloris. Pomimo łagodnej nazwy atak Slowloris może być dość skuteczny, jeśli zostanie odpowiednio wdrożony. Nie można go łatwo wykryć przez zwykłe zabezpieczenia bezpieczeństwa sieci, co bardzo utrudnia obronę.


Czytaj dalej, aby dowiedzieć się, jak działa ten prosty, ale genialny atak. Czytaj dalej, aby dowiedzieć się, jak możesz się przed nim bronić.

Co to jest atak Slowloris?

Atak Slowloris jest rodzajem ataku Distributed-Denial-of-Service. Utworzony przez hakera o nazwie RSnake, atak przeprowadzany jest przez oprogramowanie o nazwie Slowloris. Nazwa pochodzi od azjatyckiego naczelnego; jednak w przeciwieństwie do prawdziwych Slow Loris, atak ten nie jest uroczy. Slowloris pozwala pojedynczemu urządzeniu, np. Komputerowi osobistemu, na usunięcie serwera.

Chociaż pochodzi z jednego urządzenia, które zwykle czyni go atakiem typu „odmowa usługi”, staje się DDoS atak, ponieważ używa wielu połączeń do ataku na serwer. Może to zrobić bez obciążania przepustowości. Dodatkowo atakuje tylko serwer ofiary, co czyni go bardzo skutecznym atakiem, ponieważ nie ma to wpływu na porty niekierowane.

W rezultacie serwer jest wyłączany z eksploatacji bez korzystania z tradycyjnego botnetu. To sprawia, że ​​atak Slowlori jest nieco bardziej korzystny, ponieważ nie jest tak „głośny” jak atak pełnej siły z tysięcy maszyn zombie. Zapory ogniowe potrafi odbierać ruch ze strony skryptowych dzieciaków wdrażających botnet bez żadnej wiedzy technicznej. Kiedy wystrzelisz tysiące zniekształconych pakietów w, powiedzmy, w ciągu 10 minut, większość specjalistów NetSec to zauważy..

Jednak w wyniku ataku Slowloris uruchamianych jest mniej dzwonków alarmowych. Na IDS (System wykrywania włamań) rzadziej zakończy atak ukierunkowany na precyzję. Nie ma “złośliwy”Pakiety wysyłane podczas ataku, po prostu niekompletne HTTP żądania i nagłówki. Ponadto żądania są wysyłane w spokojnym tempie, aby nie wzbudzać podejrzeń.

Należy zauważyć, że atak ten jest skuteczny, ale jest bardzo powolny (stąd zwięzła nazwa). Przeciążenie połączenia żądaniami HTTP może zająć dużo czasu. Dotyczy to zwłaszcza dużych stron internetowych, takich jak strony rządu irańskiego podczas niesławnych ataków w 2009 roku.

Jak działa atak Slowloris?

  1. Atakujący decyduje się na serwer, na który ma zostać skierowany atak. Popularne serwery, na które wpływa Slowloris, to serwery Apache, Verizon, Flask i Web-sense.
  2. Atak rozpoczyna się od wysłania częściowych żądań HTTP.
  3. Żądania HTTP nigdy się nie kończą, oszukując serwer.
  4. W rezultacie serwer docelowy zaczyna się otwierać w oczekiwaniu na zakończenie żądań HTTP.
  5. Nagłówki HTTP są wprowadzane do przepływu ruchu. Nagłówki HTTP również nigdy nie są kompletne.
  6. W końcu legalne połączenia stają się niemożliwe. Powodem tego jest to, że ciągły przepływ żądań HTTP i nagłówków przeciąża pulę połączeń.
  7. IDS nigdy nie zauważa problemu, ponieważ żądania nie są, przynajmniej teoretycznie, złośliwe.
  8. Zanim zespół Sysadmin lub niebieski może zareagować, serwer zostaje wykluczony z prowizji.

Jak można złagodzić atak Slowloris?

Nie da się zapobiec atakowi Slowloris. Mimo to istnieje kilka kroków, które można podjąć, aby zmniejszyć zagrożenie, jakie stanowi. Jednym z kroków, które można podjąć, jest skonfigurowanie serwera w celu umożliwienia większej liczbie klientów (tj. Podniesienie maksymalnego limitu). Kolejnym jest wymuszenie ograniczenia serwera Adresy IP pod względem liczby możliwych połączeń. Niektóre inne taktyki obejmują szybsze zamykanie połączeń i ograniczanie minimalnej prędkości połączenia.

Sposób, w jaki te taktyki złagodzić Slowlori są dość proste. Te konfiguracje skutecznie uciskają napastnika, nie pozwalając na warunki, których potrzebują. Bez możliwości utrzymywania łączności przez długi czas i bez licznych połączeń wysyłających żądania HTTP atak Slowloris staje się trudny do odparcia.

To nie jest kuloodporny plan, ponieważ nadal można podjąć próbę ataku. Atakujący potrzebuje jedynie dużo czasu i cierpliwości. Istnieje jednak wiele metod, które można wypróbować, na przykład niektóre konfiguracje zapory i odwrotne proxy. Te mają również swoje ograniczenia i nie mogą całkowicie zapobiec atakowi Slowloris.

Dowiedz się więcej o DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map