Slowloris работает на Командная строка | |
Начальный выпуск | 17 июня 2009 г. |
---|---|
Стабильный выпуск | 0.7 |
Написано на | Perl |
Платформа | Кросс-платформенность |
Размер | 36 кб |
Тип | Инструмент взлома |
Веб-сайт | ha.ckers.org/slowloris/ |
Slowloris - это тип атаки типа «отказ в обслуживании». который позволяет одной машине отключать веб-сервер другой машины с минимальной полосой пропускания и побочными эффектами для несвязанных служб и портов.
Slowloris пытается поддерживать открытыми многие соединения с целевым веб-сервером и держать их открытыми как можно дольше. Это достигается путем открытия соединений с целевым веб-сервером и отправки частичного запроса. Периодически он будет отправлять последующие заголовки HTTP, добавляя, но не завершая запрос. Затронутые серверы будут поддерживать эти соединения открытыми, заполняя их максимальный пул одновременных соединений, в конечном итоге запрещая дополнительные попытки соединения от клиентов.
Программа была названа в честь Медленных лорисов, группы известных приматов. за их медленное движение.
Это включает, но не обязательно ограничивается следующим, согласно автору атаки:
Поскольку Slowloris использует проблемы, обрабатывающие тысячи соединений, атака оказывает меньшее влияние на серверы, которые хорошо обрабатывают большое количество соединений. Прокси-серверы и ускорители кеширования, такие как Varnish, nginx и Squid, были рекомендованы для смягчения этого конкретного вида атак. Кроме того, некоторые серверы более устойчивы к атакам благодаря своей конструкции, в том числе Hiawatha, IIS, lighttpd, Cherokee и Cisco CSS.
Хотя нет надежных конфигураций затронутых веб-серверов, которые предотвратили бы атаку Slowloris, существуют способы смягчить или уменьшить влияние такой атаки. Как правило, это связано с увеличением максимального количества клиентов, которое сервер будет разрешать, ограничением количества подключений, разрешенных для одного IP-адреса, наложением ограничений на минимальную скорость передачи, которую может иметь подключение, и ограничение времени, в течение которого клиенту разрешено оставаться на связи.
В веб-сервере Apache можно использовать ряд модулей для ограничения ущерба, причиненного атакой Slowloris; модули Apache mod_limitipconn, mod_qos, mod_evasive, mod security, mod_noloris и mod_antiloris были предложены в качестве средств снижения вероятности успешной атаки Slowloris. Начиная с Apache 2.2.15, Apache поставляет модуль mod_reqtimeout в качестве официального решения, поддерживаемого разработчиками.
Другие методы смягчения последствий включают установку обратных прокси, межсетевых экранов, балансировщики нагрузки или переключатели содержимого. Администраторы также могут изменить зараженный веб-сервер на программное обеспечение, не подверженное этой форме атаки. Например, lighttpd и nginx не поддаются этой конкретной атаке.
Во время протестов, вспыхнувших после Президентские выборы Ирана 2009, Slowloris возник как видный инструмент, используемый для использования DoS атак на сайты, управляемые иранским правительством. Считалось, что наводнение DDoS атак повлияет на доступ в Интернет для правительства и протестующих в равной степени из-за значительной полосы пропускания, которую они могут использовать. Вместо этого была выбрана атака Slowloris из-за ее высокой эффективности и относительно низкой пропускной способности. В ходе этих атак был выбран ряд государственных сайтов, в том числе gerdab.ir, leader.ir и President.ir.
Один из вариантов этой атаки использовался сетью spam для заставить серверы Gmail отправлять тысячи сообщений массово, открывая тысячи подключений к Gmail API с помощью запросов на отправку сообщений, а затем выполняя их все сразу.
С момента его выпуска появилось несколько программ, которые имитируют функцию Slowloris, но при этом предоставляют дополнительные функции или работают в различных средах: