Slowloris (ochrona komputera)
 Slowloris działający w wierszu polecenia
| |
| Pierwsze wydanie | 17 czerwca 2009 r |
|---|---|
| Wersja stabilna | 0,7 |
| Napisane w | Perl |
| Platforma | Międzyplatformowe |
| Rozmiar | 36 kb |
| Typ | Narzędzie hakerskie |
| Strona internetowa | ha.ckers.org/slowloris/ |
Slowloris to rodzaj narzędzia do ataku typu „odmowa usługi” , które pozwala pojedynczej maszynie na wyłączenie serwera sieciowego innej maszyny przy minimalnej przepustowości i efektach ubocznych dla niepowiązanych usług i portów.
Slowloris stara się utrzymywać wiele połączeń z docelowym serwerem WWW otwartych i utrzymywać je otwarte tak długo, jak to możliwe. Osiąga to poprzez otwieranie połączeń z docelowym serwerem WWW i wysyłanie częściowego żądania. Okresowo wysyła kolejne nagłówki HTTP , dodając do żądania, ale nigdy go nie uzupełniając. Serwery, których dotyczy problem, będą utrzymywać te połączenia otwarte, wypełniając maksymalną pulę jednoczesnych połączeń, ostatecznie odrzucając dodatkowe próby połączenia ze strony klientów.
Program został nazwany na cześć powolnych lorys , grupy naczelnych, które są znane ze swoich powolnych ruchów.
Dotknięte serwery sieciowe
Według autora ataku obejmuje to między innymi następujące elementy:
- Apache 1.x i 2.x
- dhttpd
- Websense „blokuje strony” (niepotwierdzone)
- Bezprzewodowy portal internetowy Trapeze (niepotwierdzony)
- Verizon MI424-WR FIOS (niepotwierdzony)
- Dekoder Motorola firmy Verizon (port 8082 i wymaga uwierzytelnienia — niepotwierdzone)
- BeeWare WAF (niepotwierdzone)
- Odmów wszystkim WAF (poprawiony)
- Kolba (serwer deweloperski)
Ponieważ Slowloris wykorzystuje problemy z obsługą tysięcy połączeń , atak ma mniejszy wpływ na serwery, które dobrze obsługują dużą liczbę połączeń. Serwery proxy i akceleratory buforowania, takie jak Varnish , nginx i Squid , zostały zalecane w celu złagodzenia tego szczególnego rodzaju ataku. Ponadto niektóre serwery są bardziej odporne na ataki ze względu na swoją konstrukcję, w tym Hiawatha, IIS , lighttpd , Cherokee i Cisco CSS .
Łagodzenie ataku Slowloris
Chociaż nie ma niezawodnych konfiguracji dotkniętych serwerów WWW, które zapobiegną atakowi Slowloris, istnieją sposoby na złagodzenie lub zmniejszenie skutków takiego ataku. Ogólnie rzecz biorąc, obejmują one zwiększenie maksymalnej liczby klientów, na które serwer może zezwalać, ograniczenie liczby połączeń, które może nawiązać pojedynczy adres IP , nałożenie ograniczeń na minimalną dozwoloną prędkość transferu połączenia oraz ograniczenie długości czasu klient może pozostawać w kontakcie.
W serwerze WWW Apache można zastosować szereg modułów w celu ograniczenia szkód spowodowanych atakiem Slowloris; moduły Apache mod_limitipconn, mod_qos , mod_evasive, mod security , mod_noloris i mod_antiloris zostały zaproponowane jako środki zmniejszające prawdopodobieństwo udanego ataku Slowloris. Od Apache 2.2.15, Apache dostarcza moduł mod_reqtimeout jako oficjalne rozwiązanie wspierane przez programistów.
Inne techniki ograniczające obejmują konfigurowanie odwrotnych serwerów proxy , zapór ogniowych , systemów równoważenia obciążenia lub przełączników treści . Administratorzy mogą również zmienić serwer internetowy, którego dotyczy problem, na oprogramowanie, na które ta forma ataku nie ma wpływu. Na przykład lighttpd i nginx nie ulegają temu konkretnemu atakowi.
Godne uwagi użycie
Podczas protestów, które wybuchły po wyborach prezydenckich w Iranie w 2009 roku , Slowloris stał się ważnym narzędziem wykorzystywanym do wykorzystywania ataków DoS na witryny prowadzone przez irański rząd. Uważano, że zalewowe DDoS w równym stopniu wpłyną na dostęp do Internetu dla rządu i protestujących, ze względu na znaczną przepustowość, jaką mogą zużyć. Zamiast tego wybrano atak Slowloris ze względu na jego duży wpływ i stosunkowo niską przepustowość. Celem tych ataków było wiele witryn rządowych, w tym gerdab.ir, leader.ir i President.ir.
Wariant tego ataku został wykorzystany przez sieć spamową River City Media, aby zmusić serwery Gmaila do masowego wysyłania tysięcy wiadomości, otwierając tysiące połączeń z interfejsem API Gmaila z żądaniami wysłania wiadomości, a następnie wykonując je wszystkie jednocześnie.
Program został również wykorzystany 21 października 2022 roku przez nieznanego użytkownika sieci o pseudonimie „Neon Demon”, który wyłączył serwery serwisów internetowych znanej rosyjskiej firmy Gazprom , Gazprom.com i Gazprom.ru, począwszy od około godziny 4 :30 CST. Serwery były offline przez co najmniej trzy miesiące, aż do 2023 roku.
Podobne oprogramowanie
Od czasu jego wydania pojawiło się wiele programów, które naśladują działanie Slowlorisa, zapewniając jednocześnie dodatkową funkcjonalność lub działając w różnych środowiskach:
- PyLoris – niezależna od protokołu implementacja Pythona obsługująca serwery proxy Tor i SOCKS.
- Slowloris – implementacja Slowloris w Pythonie 3 z obsługą proxy SOCKS.
- Goloris – Slowloris dla nginx, napisany w Go.
- slowloris - Rozproszona implementacja Golanga
- QSlowloris – wykonywalna forma Slowloris przeznaczona do pracy w systemie Windows, zawierająca interfejs Qt .
- Nienazwana wersja PHP, którą można uruchomić z serwera HTTP.
- SlowHTTPTest – Wysoce konfigurowalny symulator powolnych ataków, napisany w C++.
- SlowlorisChecker – Slowloris i Slow POST POC (weryfikacja koncepcji). Napisane w rubinie.
- Cyphon - Slowloris dla Mac OS X, napisany w Objective-C.
- sloww - Implementacja Slowloris napisana w Node.js.
- dotloris - Slowloris napisany w .NET Core
- SlowDroid - Ulepszona wersja Slowloris napisana w Javie, zmniejszająca do minimum przepustowość ataku
Zobacz też
- WolnyDroid
- Trinoo
- Stacheldraht
- Odmowa usługi
- GRUNT
- Działo jonowe o niskiej orbicie
- Działo jonowe na wysokiej orbicie
- Ponów
- RU-Dead-Jeszcze
Linki zewnętrzne
- Slowloris HTTP DoS
- hackaday na Slowlorisie
- Apache zaatakowany artykułem „slow loris” na LWN.net
- Slowloris – krótki film (w tym demo)
- Strona główna SlowHTTPTest
- Próba symulacji SlowLoris na LOIC
- Wpis na blogu wyjaśniający wewnętrzne działanie Slowloris