Slowloris (компьютерная безопасность) - Slowloris (computer security)
Slowloris работает Командная строка | |
изначальный выпуск | 17 июня 2009 г. |
---|---|
Стабильный выпуск | 0.7 |
Написано в | Perl |
Платформа | Кроссплатформенность |
Размер | 36 кб |
Тип | Инструмент для взлома |
Интернет сайт | ha.ckers.org/slowloris/ |
Slowloris это тип отказ в обслуживании инструмент атаки, который позволяет одной машине отключать веб-сервер другой машины с минимальной пропускной способностью и побочными эффектами для несвязанных служб и портов.
Slowloris пытается поддерживать открытыми многие соединения с целевым веб-сервером и держать их открытыми как можно дольше. Это достигается путем открытия соединений с целевым веб-сервером и отправки частичного запроса. Периодически он будет отправлять последующие HTTP заголовки, добавляющие, но никогда не завершающие запрос. Затронутые серверы будут поддерживать эти соединения открытыми, заполняя свой максимальный пул одновременных соединений, в конечном итоге запрещая дополнительные попытки подключения от клиентов.[1]
Программа была названа в честь Медленные лори, группа приматов, которые известны своим медленным передвижением.
Затронутые веб-серверы
Это включает, но не обязательно ограничивается следующим, по мнению автора атаки:[1]
- Apache 1.x и 2.x
- dhttpd
- Websense «заблокировать страницы» (не подтверждено)
- Беспроводной веб-портал Trapeze (не подтверждено)
- Verizon's MI424-WR Кабельный модем FIOS (не подтверждено)
- Verizon's Motorola Приставка (порт 8082 и требуется авторизация - не подтверждено)
- BeeWare WAF (не подтверждено)
- Запретить все WAF (исправлено) [2]
- Колба (сервер разработки)
Поскольку Slowloris эксплуатирует проблемы с обработкой тысяч соединений, атака оказывает меньшее влияние на серверы, которые хорошо обрабатывают большое количество подключений. Прокси-серверы и ускорители кеширования, такие как Лак, nginx, и Кальмар были рекомендованы[3] для смягчения этого конкретного вида атаки. Кроме того, некоторые серверы более устойчивы к атакам благодаря своей конструкции, в том числе Hiawatha,[4] IIS, lighttpd, Чероки, и Cisco CSS.
Смягчение атаки Slowloris
Хотя нет надежных конфигураций затронутых веб-серверов, которые предотвратили бы атаку Slowloris, существуют способы смягчить или уменьшить влияние такой атаки. Как правило, это связано с увеличением максимального количества клиентов, разрешенных сервером, с ограничением количества подключений к одному айпи адрес разрешено делать, налагая ограничения на минимальную скорость передачи данных, которую разрешено иметь соединение, и ограничивая продолжительность времени, в течение которого клиенту разрешено оставаться на связи.
В веб-сервере Apache можно использовать ряд модулей для ограничения ущерба, нанесенного атакой Slowloris; модули Apache mod_limitipconn, mod_qos, mod_evasive, мод безопасности, mod_noloris и mod_antiloris были предложены как средства снижения вероятности успешной атаки Slowloris.[1][5] Начиная с Apache 2.2.15, Apache поставляет модуль mod_reqtimeout в качестве официального решения, поддерживаемого разработчиками.[6]
Другие методы смягчения последствий включают настройку обратные прокси, брандмауэры, балансировщики нагрузки или же переключатели контента.[7] Администраторы также могут изменить зараженный веб-сервер на программное обеспечение, не подверженное этой форме атаки. Например, lighttpd и nginx не поддавайтесь этой атаке.[1]
Заметное использование
Эта секция нуждается в расширении. Вы можете помочь добавляя к этому. (Декабрь 2009 г.) |
Во время протестов, разразившихся вслед за Выборы президента Ирана 2009 г., Slowloris возник как видный инструмент, используемый для DoS атаки на сайты, управляемые правительством Ирана.[8] Считалось, что наводнение DDoS атаки могут повлиять на доступ в Интернет для правительства и протестующих в равной степени из-за значительного пропускная способность они могут потреблять. Вместо этого была выбрана атака Slowloris из-за ее большого воздействия и относительно низкой пропускной способности.[9] В ходе этих атак объектом атак стал ряд государственных сайтов, в том числе gerdab.ir, leader.ir и president.ir.[10]
Вариант этой атаки был использован спам сеть Ривер Сити Медиа заставить Gmail серверы для массовой рассылки тысяч сообщений, открывая тысячи подключений к Gmail API с запросами на отправку сообщений, а затем их все сразу.[11]
Подобное программное обеспечение
С момента его выпуска появился ряд программ, которые имитируют функцию Slowloris, но при этом предоставляют дополнительные функции или работают в различных средах:[12]
- PyLoris - независимая от протокола реализация Python, поддерживающая Тор и SOCKS прокси.[13]
- Slowloris - реализация Slowloris на Python 3 с поддержкой прокси-сервера SOCKS.[14]
- Goloris - Slowloris для nginx, написанный на Go.[15]
- QSlowloris - исполняемая форма Slowloris, предназначенная для работы в Windows, с Qt внешний интерфейс.[16]
- Безымянная версия PHP, которую можно запустить с HTTP-сервера.[17]
- SlowHTTPTest - Симулятор медленных атак с широкими возможностями настройки, написанный на C ++.[18][19]
- SlowlorisChecker - Slowloris и Slow POST POC (Подтверждение концепции). Написано на Ruby.[20]
- Cyphon - Slowloris для Mac OS X, написанный на Objective-C.[21]
- sloww - реализация Slowloris, написанная на Node.js.[22]
- dotloris - Slowloris, написанный на .NET Core [23]
Смотрите также
- SlowDroid
- Trinoo
- Stacheldraht
- Отказ в обслуживании
- ЗЕМЕЛЬНЫЕ УЧАСТКИ
- Низкоорбитальная ионная пушка
- Высокоорбитальная ионная пушка
- ReDoS
- R-U-Dead-Все же
Рекомендации
- ^ а б c d "Slowloris HTTP DoS". Архивировано 26 апреля 2015 года.. Получено 26 июн 2009.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
- ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) 1 февраля 2014 г.. Получено 15 мая 2013.CS1 maint: заархивированная копия как заголовок (связь)
- ^ "Как лучше всего защититься от" slowloris "DOS-атаки на веб-сервер Apache?". serverfault.com. Получено 28 декабря 2016.
- ^ «Тестирование производительности под атакой». hiawatha-webserver.org. 28 февраля 2014 г.
- ^ "mod_noloris: защита от DoS". мыльница niq. Получено 7 января 2012.
- ^ "mod_reqtimeout - HTTP-сервер Apache". Httpd.apache.org. Получено 3 июля 2013.
- ^ Бредейк, Франк (22 июня 2009 г.). «Slowloris и Nkiller2 против балансировщика нагрузки Cisco CSS». Cupfighter.net. Получено 7 января 2012.
- ^ Здрня, Боян (23 июня 2009 г.). "Дневник ISC | Slowloris и иранские DDoS-атаки". Isc.sans.org. Получено 7 января 2012.
- ^ [1] В архиве 29 июня 2009 г. Wayback Machine
- ^ [2] В архиве 11 августа 2009 г. Wayback Machine
- ^ Викери, Крис (6 марта 2017 г.). "Spammergate: Падение Империи". MacKeeper Security Watch. Архивировано из оригинал 6 марта 2017 г.
- ^ Роберт «RSnake» Хансен. "Slowloris" (PDF). SecTheory. Получено 7 января 2012.
- ^ «Пилорис». MotomaSTYLE. 19 июня 2009 г. Архивировано с оригинал 15 июля 2009 г.. Получено 7 января 2012.
- ^ "Slowloris переписать на Python". Получено 10 мая 2017.
- ^ валяла. «Slowloris для DoS на nginx». Получено 4 февраля 2014.
- ^ «Как помочь закрыть gerdab.ir за 5 простых шагов». cyberwar4iran. 28 июня 2009 г.. Получено 7 января 2012.
- ^ «Полное раскрытие: apache и squid dos». Seclists.org. 19 июня 2009 г.. Получено 7 января 2012.
- ^ «Тестирование веб-серверов на предмет медленных HTTP-атак». qualys.com. 19 сентября 2011 г.. Получено 13 января 2012.
- ^ "shekyan / slowhttptest: Симулятор DoS-атаки на уровне приложений". GitHub. Получено 19 апреля 2017.
- ^ «Простой скрипт для проверки, может ли какой-либо сервер быть затронутым атакой Slowloris». github.com/felmoltor. 31 декабря 2012 г.. Получено 31 декабря 2012.
- ^ abilash. "Slowloris для OSX". Получено 8 апреля 2017.
- ^ Дэвис, Итан (17 февраля 2018 г.), sloww: легкий CLI для атаки Slowloris в Node, получено 18 февраля 2018
- ^ Бассель Шмали. "Slowloris написан на ядре .Net".