Slowloris-aanval


Slowloris-aanval

In 2009 waren er in Iran een reeks cyberbeveiligingsincidenten die door hacktivisten in de regio tegen websites van de Iraanse regering werden uitgevoerd. De primaire aanval? Iets dat een Slowloris-aanval wordt genoemd. Ondanks de goedaardig klinkende naam, kan een Slowloris-aanval behoorlijk effectief zijn als deze op de juiste manier wordt ingezet. Het kan niet gemakkelijk worden opgespoord door normale netwerkbeveiligingen, wat het erg moeilijk maakt om zich ertegen te verdedigen.


Lees verder om erachter te komen hoe deze eenvoudige maar briljante aanval werkt. Lees ook verder om erachter te komen hoe u zich ertegen kunt verdedigen.

Wat is een Slowloris-aanval?

Een Slowloris-aanval is een soort Distributed-Denial-of-Service-aanval. Gemaakt door een hacker genaamd RSnake, de aanval wordt uitgevoerd door een stuk software genaamd Slowloris. De naam is afgeleid van de Aziatische primaat; maar in tegenstelling tot de echte Slow loris, is deze aanval niet schattig. Met Slowloris kan een enkel apparaat, zoals een pc, een server verwijderen.

Hoewel het afkomstig is van één apparaat, wat het normaal gesproken tot een Denial-of-Service-aanval zou maken, wordt het een DDoS aanvallen omdat het meerdere verbindingen gebruikt om een ​​server aan te vallen. Het kan dit doen zonder de bandbreedte te belasten. Bovendien is het alleen gericht op de server van het slachtoffer, waardoor het een zeer efficiënte aanval is omdat er geen ongerichte poorten worden aangetast.

Het resultaat is een server die buiten gebruik wordt gesteld zonder het gebruik van een traditioneel botnet. Dit maakt Slowloris-aanvallen iets voordeliger in het gebruik, omdat het niet zo “luid” is als een aanval met volledige kracht van duizenden zombiemachines. Firewalls kan verkeer ophalen van scriptkiddies die een botnet inzetten zonder enige echte technische kennis. Wanneer u duizenden slecht gevormde pakketten in bijvoorbeeld een periode van 10 minuten afvuurt, zullen de meeste NetSec-professionals dit opmerken.

Bij een Slowloris-aanval gaan echter minder alarmbellen af. Een IDS (Intrusion Detection System) zal een aanval die op precisie is gericht, minder snel uitschakelen. Er zijn geen “kwaadaardig”Pakketten die tijdens de aanval worden verzonden, gewoon onvolledig HTTP verzoeken en koppen. Bovendien worden de verzoeken in een ontspannen tempo verzonden om geen argwaan te wekken.

Opgemerkt moet worden dat deze aanval effectief is, maar erg traag (vandaar de pittige naam). Het kan lang duren voordat de verbinding overbelast raakt met HTTP-verzoeken. Dit geldt vooral voor grote websites, zoals de websites van de Iraanse regering bij de beruchte aanslagen van 2009.

Hoe werkt een Slowloris-aanval?

  1. Een aanvaller besluit een server te targeten. Populaire servers die door Slowloris worden getroffen, zijn onder meer servers van Apache, Verizon, Flask en Web-sense.
  2. De aanval begint met het verzenden van gedeeltelijke HTTP-verzoeken.
  3. De HTTP-verzoeken worden nooit voltooid, waardoor de server wordt misleid.
  4. Als gevolg hiervan begint de beoogde server zich te openen in afwachting van de voltooiing van de HTTP-verzoeken.
  5. HTTP-headers worden geïntroduceerd in de verkeersstroom. De HTTP-headers zijn ook nooit compleet.
  6. Uiteindelijk worden legitieme verbindingen onmogelijk. De reden hiervoor is dat de constante stroom van HTTP-verzoeken en headers de verbindingspool overbelast.
  7. De IDS merkt het probleem nooit op omdat de verzoeken niet, althans in theorie, niet schadelijk zijn.
  8. Voordat het Sysadmin of blauwe team kan reageren, wordt de server buiten dienst gesteld.

Hoe wordt een Slowloris-aanval verzacht??

Het is onmogelijk om een ​​Slowloris-aanval te voorkomen. Desondanks zijn er enkele stappen die u kunt nemen om de bedreiging die het vormt te verminderen. Een stap die kan worden gezet, is het configureren van een server om meer clients toe te staan ​​(d.w.z. de maximumlimiet verhogen). Een andere is om de server te dwingen te beperken IP-adressen in termen van hoeveel verbindingen het kan hebben. Enkele andere tactieken zijn onder meer het sneller afsluiten van verbindingen en het beperken van de minimale verbindingssnelheid.

De manier waarop deze tactieken verzachten a Slowloris zijn vrij eenvoudig. Deze configuraties knieën een aanvaller effectief door de omstandigheden niet toe te staan ​​die ze nodig hebben. Zonder de mogelijkheid om gedurende lange periodes verbonden te blijven en zonder talrijke verbindingen die HTTP-verzoeken verzenden, wordt de Slowloris-aanval moeilijk af te wikkelen.

Dit is geen kogelvrij plan, omdat de aanval nog steeds kan worden geprobeerd. Het enige dat een aanvaller nodig heeft, is veel tijd en geduld. Er zijn echter nog meer methoden die u kunt proberen, zoals bepaalde firewallconfiguraties en reverse proxy’s. Deze hebben echter ook hun beperkingen en kunnen de Slowloris-aanval niet volledig voorkomen.

Lees meer over DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map