Attacco di Slowloris


Attacco di Slowloris

Nel 2009, ci sono stati una serie di incidenti di sicurezza informatica in Iran che sono stati realizzati contro i siti Web del governo iraniano da hacktivisti nella regione. La forma principale di attacco? Qualcosa chiamato attacco Slowloris. Nonostante il nome dal suono benigno, un attacco di Slowloris può essere abbastanza efficace se schierato correttamente. Non è in grado di essere facilmente rilevato dalle normali difese di sicurezza della rete, il che rende molto difficile difendersi.


Continua a leggere per scoprire come funziona questo attacco semplice ma geniale. Inoltre, continua a leggere per scoprire come puoi difenderti.

Che cos’è un attacco di Slowloris?

Un attacco Slowloris è un tipo di attacco Distributed-Denial-of-Service. Creato da un hacker di nome RSnake, l’attacco viene eseguito da un software chiamato Lento Loris. Il nome deriva dal primate asiatico; tuttavia a differenza del vero loris lento, questo attacco non è adorabile. Slowloris consente a un singolo dispositivo, ad esempio un personal computer, di eliminare un server.

Sebbene provenga da un dispositivo, che normalmente lo renderebbe un attacco Denial of Service, diventa un DDoS attacco in quanto utilizza più connessioni per attaccare un server. Può farlo senza mettere a dura prova la larghezza di banda. Inoltre, prende di mira solo il server della vittima, rendendolo un attacco molto efficiente poiché non sono interessate porte non targetizzate.

Il risultato è un server messo fuori servizio senza l’uso di una botnet tradizionale. Questo rende l’attacco di Slowloris un po ‘più vantaggioso da usare, in quanto non è “forte” come un attacco a piena forza da migliaia di macchine zombi. firewall può raccogliere traffico da script kiddie distribuendo una botnet senza alcuna reale conoscenza tecnica. Quando lanci migliaia di pacchetti non validi entro, diciamo, nell’arco di 10 minuti, la maggior parte dei professionisti NetSec noterà.

Con un attacco Slowloris, tuttavia, vengono attivate meno campane d’allarme. Un IDS (Intrusion Detection System) avrà meno probabilità di bloccare un attacco mirato con precisione. Non ci sono “maligno“Pacchetti inviati durante l’attacco, semplicemente incompleti HTTP richieste e intestazioni. Inoltre, le richieste vengono inviate a un ritmo rilassato per non destare sospetti.

Va notato che questo attacco è efficace, ma è molto lento (da cui il nome pitone). Può richiedere molto tempo per sovraccaricare la connessione con richieste HTTP. Questo vale soprattutto per i siti Web di grandi dimensioni, come i siti Web del governo iraniano nei famigerati attacchi del 2009.

Come funziona un attacco Slowloris?

  1. Un utente malintenzionato decide su un server di destinazione. I server popolari interessati da Slowloris includono server di Apache, Verizon, Flask e Web-sense.
  2. L’attacco inizia inviando richieste HTTP parziali.
  3. Le richieste HTTP non vengono mai completate, ingannando il server.
  4. Di conseguenza, il server di destinazione inizia ad aprirsi in anticipo per il completamento delle richieste HTTP.
  5. Le intestazioni HTTP vengono introdotte nel flusso di traffico. Anche le intestazioni HTTP non vengono mai completate.
  6. Alla fine, le connessioni legittime diventano impossibili. La ragione di ciò è che il flusso costante di richieste e intestazioni HTTP sovraccarica il pool di connessioni.
  7. L’IDS non si accorge mai del problema che si verifica poiché le richieste non sono, almeno in teoria, dannose.
  8. Prima che il Sysadmin o la squadra blu possano reagire, il server viene messo fuori servizio.

Come viene mitigato un attacco di Slowloris?

È impossibile prevenire un attacco di Slowloris. Nonostante ciò, ci sono alcuni passi che si possono fare per mitigare la minaccia che rappresenta. Un passo da compiere è la configurazione di un server per consentire a più client (ovvero aumentare il limite massimo). Un altro è forzare il limite del server Indirizzi IP in termini di quante connessioni può avere. Alcune altre tattiche includono lo spegnimento delle connessioni a una velocità maggiore e la limitazione della velocità minima di connessione.

Il modo in cui queste tattiche mitigare uno Slowloris è abbastanza semplice. Queste configurazioni bloccano efficacemente un attaccante non permettendo le stesse condizioni di cui hanno bisogno. Senza la possibilità di rimanere in contatto per lunghi periodi e senza numerose connessioni che inviano richieste HTTP, l’attacco Slowloris diventa difficile da attuare.

Questo non è un piano antiproiettile, poiché l’attacco può ancora essere tentato. Tutto ciò di cui un attaccante ha bisogno è molto tempo a disposizione e pazienza. Esistono ancora più metodi che si possono provare, tuttavia, come alcune configurazioni del firewall e proxy inversi. Anche questi hanno i loro limiti e non possono impedire del tutto l’attacco di Slowloris.

Ulteriori informazioni su DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map