Slowloris

Slowloris
Slowloris
Entwickler Robert "RSnake" Hansen
Aktuelle Version 0.7
(17. Juni 2009)
Programmier­sprache Perl
http://ha.ckers.org/slowloris/

Slowloris ist eine Software mit der ein einzelner Rechner unter minimaler Verwendung von Netzwerkresourcen einen Webserver lahmlegen kann. Slowloris greift speziell den Webserver an, gegen andere Dienste wirkt es nicht. Autor der Software ist Robert "RSnake" Hansen.[1]

Slowloris versucht möglichst viele Verbindungen zum Zielserver aufzubauen und diese so lange wie möglich offen zu halten. Dieser Effekt wird durch paralleles Öffnen von Verbindungen und Senden von Teilanfragen erreicht. Von Zeit zu Zeit werden die Teilanfragen durch weitere HTTP-Header ergänzt, die Anfragen werden aber nie vollständig abgeschlossen. Dadurch steigt die Anzahl offener Verbindungen rasch an. Da die Anzahl offener Verbindungen, die ein Webserver gleichzeitig halten kann, begrenzt ist, werden legitime Anfragen von Webbrowsern abgelehnt – der Server ist lahmgelegt.[1]

Inhaltsverzeichnis

Betroffene Webserver

Viele Webserver sind für diese Art des Angriffs anfällig, darunter Apache 1.x, Apache 2.x, dhttpd und der GoAhead WebServer.[1]

Gegenmaßnahmen

Es gibt derzeit kein wirksames Mittel gegen einen Slowloris Angriff, aber es gibt Möglichkeiten dessen Auswirkungen zu verringern. Diese umfassen:

  • maximale Anzahl gleichzeitiger Verbindungen des Webserver erhöhen
  • die maximale Anzahl von Verbindungen von einer IP-Adresse beschränken
  • die Zeitspanne die ein Client verbunden bleiben darf verringern

Speziell für den Apache Webserver gibt es eine Reihe von Modulen die den Schaden durch Slowloris verringern können, so zum Beispiel mod_limitpconn, mod_qos, mod_evasive, mod_security, mod_noloris, and mod_antiloris.[1][2][3]

Weitere Gegenmaßnahmen sind Reverse Proxys, Firewalls, Load Balancer, Layer-3-Switches[4] und die Verwendung eines Webservers der immun gegen diese Art des Angriffs ist.

Verwendung

Während der Präsidentschaftswahlen 2009 im Iran wurde Slowloris gegen die Webserver der Iranischen Regierung eingesetzt.[5]

Slowloris wurde gegenüber einem traditionellem Denial of Service Angriff bevorzugt, weil ein traditioneller Angriff sehr viele Netzwerkressourcen verbraucht hätte und damit auch der Protestbewegung geschadet hätte.[6]

Von den Angriffen waren gerdab.ir, leader.ir, und president.ir betroffen.[7]

Ähnliche Programme

Seit der Veröffentlichung von Slowloris sind einige weitere Programme erschienen, die die Funktion von Slowloris nachahmen und weitere Funktionen bieten oder in anderen Umgebungen laufen:[8]

  • PyLoris - eine Pythonimplementierung, die Tor- und SOCKS-Proxies unterstützt.[9]
  • QSlowloris - Ein Binärprogramm, das unter Windows läuft und eine Qt-Oberfläche hat.[10]
  • Eine (unbenannte) PHP-Version, die ironischerweise im Apache-HTTP-Server läuft.[11]

Siehe auch

Einzelnachweise

  1. a b c d http://ha.ckers.org/slowloris/
  2. http://serverfault.com/questions/32361
  3. http://bahumbug.wordpress.com/2009/07/01/mod_noloris-defending-against-dos/
  4. http://www.cupfighter.net/index.php/2009/06/slowloris-css/
  5. http://isc.sans.org/diary.html?storyid=6622
  6. http://iran.whyweprotest.net/general-discussion/2156-list-anti-protester-sites-2.html
  7. http://iran.whyweprotest.net/help-iran-online/6194-condensed-list-sites-w-pictures-part-1-a.html
  8. http://samsclass.info/seminars/slowloris.pdf
  9. http://motomastyle.com/pyloris/
  10. http://cyberwar4iran.blogspot.com/
  11. http://seclists.org/fulldisclosure/2009/Jun/0207.html

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • slowloris — slow loris n. A large loris (Nycticebus coucang) of Indonesia, having a corpulent, almost tailless body and noted for its very slow, cautious movements. * * * …   Universalium

  • Denial-of-service attack — DoS redirects here. For other uses, see DOS (disambiguation). DDoS Stacheldraht Attack diagram. A denial of service attack (DoS attack) or distributed denial of service attack (DDoS attack) is an attempt to make a computer resource unavailable to …   Wikipedia

  • Slow loris — For the denial of service attack, see Slowloris. Slow lorises[1] Sunda slow loris Nycticebus coucang …   Wikipedia

  • Attaque par déni de service — Une attaque par déni de service (denial of service attack, d où l abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d empêcher les utilisateurs légitimes d un service de l utiliser. Il peut s agir de :… …   Wikipédia en Français

  • Анонимус — У этого термина существуют и другие значения, см. Аноним (значения). Anonymous Анонимус …   Википедия

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”