Útok Slowloris


Útok Slowloris

V roku 2009 sa v Iráne vyskytlo niekoľko incidentov týkajúcich sa kybernetickej bezpečnosti, ktoré hackeri v regióne uskutočnili proti webovým stránkam iránskej vlády. Primárna forma útoku? Niečo sa nazýva útok Slowloris. Napriek benígne znejúcemu názvu môže byť útok Slowloris pri správnom nasadení dosť efektívny. Nedá sa ľahko zistiť pomocou bežných bezpečnostných opatrení v oblasti siete, čo veľmi sťažuje obranu.


Čítajte ďalej a zistite, ako tento jednoduchý, ale geniálny útok funguje. Čítajte ďalej a zistite, ako sa proti tomu môžete brániť.

Čo je to útok Slowloris?

Útok typu Slowloris je typom útoku typu Distribuované odmietnutie služby. Vytvoril hacker menom RSnake, útok sa vykonáva pomocou softvéru nazývaného Pomalá Loris. Názov je odvodený od ázijského primáta; Na rozdiel od skutočného pomalého lorisa však tento útok nie je rozkošný. Slowloris umožňuje jednému zariadeniu, napríklad osobnému počítaču, odstaviť server.

Aj keď pochádza z jedného zariadenia, ktoré by ho spravidla urobilo útokom odmietnutia služby, stáva sa DDoS útok, pretože používa viac pripojení na útok na server. Môže to urobiť bez zaťaženia šírkou pásma. Okrem toho sa zameriava iba na server obete, čo z neho robí veľmi efektívny útok, pretože tým nie sú dotknuté žiadne necielené porty.

Výsledkom je server, ktorý je vyradený z prevádzky bez použitia tradičného botnetu. Vďaka tomu je útok Slowloris o niečo výhodnejší, pretože nie je „nahlas“ ako útok sily tisícov zombie strojov. firewally dokáže vyzdvihnúť prevádzku skriptov, ktoré nasadili botnet, bez akýchkoľvek skutočných technických znalostí. Keď spustíte tisíce chybne formátovaných paketov, povedzme v rozpätí 10 minút, väčšina profesionálov NetSec si to všimne.

Pri útoku Slowloris sa však spustí menej poplašných zvonov. IDS (Systém detekcie narušenia) bude s menšou pravdepodobnosťou zastaviť útok, ktorý je presne zameraný. Nie sú k dispozícii žiadne “zlomyseľný”Pakety odoslané počas útoku, len neúplné HTTP žiadosti a hlavičky. Okrem toho sa žiadosti posielajú uvoľneným tempom, aby nevzniklo podozrenie.

Je potrebné poznamenať, že tento útok je účinný, ale je veľmi pomalý (odtiaľ pochádza aj štedrý názov). Môže trvať dlho, kým sa pripojenie preťaží požiadavkami HTTP. Platí to najmä pre veľké webové stránky, ako sú napríklad iránske vládne webové stránky pri neslávnych útokoch v roku 2009.

Ako funguje útok Slowloris?

  1. Útočník sa rozhodne pre cieľový server. Populárne servery ovplyvnené serverom Slowloris zahŕňajú servery Apache, Verizon, Flask a Web-sense.
  2. Útok začína odoslaním čiastočných požiadaviek HTTP.
  3. Požiadavky protokolu HTTP sa nikdy nedokončia, čím sa podarí server.
  4. Výsledkom je, že cielený server sa začína otvárať v očakávaní na dokončenie požiadaviek HTTP.
  5. Hlavičky HTTP sa zavádzajú do toku prevádzky. Hlavičky HTTP sa nikdy nedokončia.
  6. Nakoniec sa legitímne spojenia stanú nemožnými. Dôvodom je to, že neustály tok požiadaviek HTTP a hlavičiek preťažuje oblasť pripojení.
  7. IDS si nikdy nevšimne problému, ktorý sa vyskytuje, pretože žiadosti nie sú, prinajmenšom teoreticky, škodlivé.
  8. Predtým, ako môže tím Sysadmin alebo modrý tím reagovať, je server vyradený z prevádzky.

Ako sa zmierňuje útok Slowloris?

Nie je možné zabrániť útoku Slowloris. Napriek tomu existuje niekoľko krokov na zmiernenie hrozby, ktorú predstavuje. Jedným z krokov, ktorý je možné vykonať, je konfigurácia servera tak, aby umožňoval viac klientov (t. J. Zvýšenie maximálneho limitu). Ďalším je prinútiť server obmedziť IP adresy pokiaľ ide o počet spojení, ktoré môže mať. Niektoré ďalšie taktiky zahŕňajú vypínanie spojení rýchlejšie a obmedzovanie minimálnej rýchlosti pripojenia.

Spôsob, akým tieto taktiky poľahčujúcu okolností Slowloris sú pomerne jednoduché. Tieto konfigurácie útočia na útočníka tým, že neumožňujú podmienky, ktoré potrebujú. Bez schopnosti zostať v spojení po dlhú dobu a bez početných spojení posielajúcich požiadavky HTTP sa útok Slowloris stáva ťažkým..

Toto nie je nepriestrelný plán, pretože o útok sa stále dá pokúsiť. Všetko, čo útočník potrebuje, je veľa času na jeho rukách a trpezlivosti. Existuje však stále viac metód, ako napríklad konfigurácie firewallu a reverzné proxy servery. Tieto však majú svoje obmedzenia a nemôžu úplne zabrániť útoku Slowloris.

Prečítajte si viac informácií o DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map