Slowloris Attack


Slowloris Attack

Á árinu 2009 var röð af öryggisatvikum í Íran sem gerð var gegn írönskum vefsíðum stjórnvalda af hacktivistum á svæðinu. Aðalform árásar? Eitthvað kallað Slowloris árás. Þrátt fyrir góðkynja-hljómandi nafnið, getur Slowloris árás verið mjög árangursrík þegar hún er sett á réttan hátt. Ekki er auðvelt að greina það með venjulegum netöryggisvörn, sem gerir það mjög erfitt að verjast.


Lestu áfram til að komast að því hvernig þessi einfalda en snilldarlega árás virkar. Lestu líka áfram til að komast að því hvernig þú getur varið gegn því.

Hvað er Slowloris Attack?

Slowloris árás er tegund af árásum sem dreift hefur verið afneitun eða afneitun. Búið til af tölvusnápur sem heitir RSnake, árásin er framkvæmd af hugbúnaði sem kallaður er Slowloris. Nafnið er dregið af asíska höfðingjanum; þó ólíkt raunverulegum Slow Loris er þessi árás ekki yndisleg. Slowloris leyfir stöku tæki, svo sem einkatölvu, að taka niður netþjóninn.

Þó að það sé upprunnið úr einu tæki, sem venjulega myndi gera það að afneitun á þjónustu, verður það að DDoS ráðast þar sem það notar margar tengingar til að ráðast á netþjón. Það getur gert þetta án þess að setja álag á bandbreidd. Að auki beinist það aðeins að netþjóni fórnarlambsins og gerir það að mjög skilvirkum árásum þar sem engar ómarkvissar hafnir hafa áhrif.

Niðurstaðan er netþjóni sem er settur úr notkun án þess að nota hefðbundið botnet. Þetta gerir Slowloris árásina nokkuð hagstæðari í notkun, þar sem hún er ekki eins „hávær“ og árás af fullum krafti frá þúsundum uppvakningavéla. Eldveggir getur sótt umferð frá smáforritum sem dreifa botneti án raunverulegrar tæknilegrar þekkingar. Þegar þú hleypur af þúsundum af vansköpuðum pakka í td 10 mínútur, munu flestir NetSec sérfræðingar taka eftir því.

Með Slowloris árás eru hins vegar færri viðvörunarbjöllur lagðar af stað. An IDS (Innbrotsgreiningarkerfi) verður ólíklegra til að leggja niður árás sem er nákvæmlega miðuð. Það eru engin “illgjarn“Pakkar sem sendir voru meðan á árásinni stóð, bara ófullkomnir HTTP beiðnir og haus. Að auki eru beiðnirnar sendar á afslappaðri hraða svo ekki veki tortryggni.

Það skal tekið fram að þessi árás er árangursrík, en hún er mjög hæg (þar af leiðandi heiti). Það getur tekið langan tíma þar til tengingin verður of mikið af HTTP beiðnum. Þetta á sérstaklega við um stórar vefsíður, svo sem írönsk vefsíður stjórnvalda í hinum frægu árásum 2009.

Hvernig virkar Slowloris árás?

  1. Árásarmaður ákveður miðlara til að miða á. Vinsælir netþjónar sem Slowloris hefur áhrif á eru netþjónar frá Apache, Regin, Kolbu og Vefskilningi.
  2. Árásin byrjar með því að senda HTTP beiðnir að hluta.
  3. HTTP beiðnirnar ljúka aldrei, og plata þjóninn.
  4. Fyrir vikið byrjar miðaður netþjónn að opnast í aðdraganda að HTTP beiðnirnar ljúki.
  5. HTTP hausum er kynnt fyrir umferðarflæðinu. HTTP hausarnir ljúka heldur aldrei aldrei.
  6. Að lokum verða réttmætar tengingar ómögulegar. Ástæðan fyrir þessu er sú að stöðugt flæði HTTP beiðna og hausa of mikið af tengingarlauginni.
  7. IDS tekur aldrei eftir því að málið kemur upp þar sem beiðnirnar eru ekki, að minnsta kosti í orði, illgjarnar.
  8. Áður en Sysadmin eða bláa liðið geta brugðist við er þjónninn sleginn úr notkun.

Hvernig er mælt með Slowloris árás?

Það er ómögulegt að koma í veg fyrir Slowloris árás. Þrátt fyrir þetta eru nokkur skref sem hægt er að taka til að draga úr þeirri ógn sem það stafar af. Eitt skref sem hægt er að taka er að stilla miðlara til að leyfa fleiri viðskiptavinum (þ.e.a.s. að hækka hámarksmörkin). Annað er að þvinga netþjóninn til að takmarka IP tölur hvað varðar hversu margar tengingar það getur haft. Sumar aðrar aðferðir fela í sér að slökkva á tengingum hraðar og takmarka lágmarks tengihraða.

Leiðin með þessum aðferðum milda Slowloris eru frekar einföld. Þessar stillingar kné árásarmaður á áhrifaríkan hátt með því að leyfa ekki mjög þær aðstæður sem þeir þurfa. Án hæfileikans til að vera tengdur í langan tíma og án þess að fjölmörg tengsl sendi út HTTP beiðnir verður Slowloris árásin erfitt að draga af.

Þetta er ekki skotheld áætlun, þar sem enn er hægt að reyna árásina. Allt sem árásarmaður þarf er mikill tími í höndunum og þolinmæðin. Það eru enn fleiri aðferðir sem hægt er að prófa, eins og ákveðnar stillingar eldveggs og öfugum næstur. Þetta hefur þó líka sínar takmarkanir og geta ekki alveg komið í veg fyrir Slowloris árásina.

Frekari upplýsingar um DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map