Slowloris Attack
Slowloris Attack
Еще в 2009 году в Иране произошла серия инцидентов в области кибербезопасности, которые были совершены против веб-сайтов иранского правительства хактивистами в регионе. Основная форма атаки? То, что называется атакой Словлориса. Несмотря на добродушное название, атака Slowloris может быть весьма эффективной при правильном развертывании. Он не может быть легко обнаружен обычной защитой сети, что делает его очень трудным для защиты от.
Читайте дальше, чтобы узнать, как работает эта простая, но блестящая атака. Кроме того, читайте дальше, чтобы узнать, как вы можете защитить от него.
Что такое Slowloris Attack?
Атака Slowloris – это тип атаки с распределенным отказом в обслуживании. Создано хакером по имени RSnake, атака осуществляется программным обеспечением, называемым Slowloris. Название происходит от азиатского примата; Однако, в отличие от настоящих Медленных Лори, эта атака не восхитительна. Slowloris позволяет одному устройству, например персональному компьютеру, отключать сервер.
Хотя он исходит от одного устройства, которое обычно делает его атакой типа «отказ в обслуживании», он становится DDoS атаковать, поскольку он использует несколько соединений для атаки на сервер. Это можно сделать без нагрузки на пропускную способность. Кроме того, он нацелен только на сервер жертвы, что делает его очень эффективной атакой, поскольку не затрагиваются нецелевые порты.
В результате сервер выведен из строя без использования традиционного ботнета. Это делает атаку Slowloris несколько более выгодной в использовании, поскольку она не такая «громкая», как атака с полной силой от тысяч машин-зомби.. Брандмауэры может получать трафик от сценариев, развертывающих ботнет без каких-либо реальных технических знаний. Когда вы запускаете тысячи искаженных пакетов, скажем, за 10 минут, большинство профессионалов NetSec заметят это.
Однако при атаке Словлориса срабатывает меньше сигналов тревоги. IDS (Система обнаружения вторжений) с меньшей вероятностью остановит атаку с точным нацеливанием. НетзлонамеренныйПакеты, отправляемые во время атаки, просто неполные HTTP запросы и заголовки. Кроме того, запросы отправляются в спокойном темпе, чтобы не вызывать подозрений.
Следует отметить, что эта атака эффективна, но она очень медленная (отсюда и содержательное название). Соединение может перегружаться HTTP-запросами. Это особенно актуально для крупных сайтов, таких как правительственные сайты Ирана во время печально известных атак 2009 года..
Как работает Slowloris Attack?
- Злоумышленник выбирает целевой сервер. Популярные серверы, на которые воздействует Slowloris, включают серверы Apache, Verizon, Flask и Web-sense.
- Атака начинается с отправки частичных HTTP-запросов.
- HTTP-запросы никогда не завершаются, обманывая сервер.
- В результате целевой сервер начинает открываться в ожидании завершения HTTP-запросов..
- Заголовки HTTP вводятся в поток трафика. Заголовки HTTP также никогда не завершаются.
- В конце концов, законные связи становятся невозможными. Причина этого в том, что постоянный поток HTTP-запросов и заголовков перегружает пул соединений..
- IDS никогда не замечает возникшую проблему, поскольку запросы не являются, по крайней мере теоретически, вредоносными.
- Прежде чем сисадмин или синяя команда могут среагировать, сервер выбит из строя.
Как смягчается атака словориса?
Нельзя предотвратить атаку Словлориса. Несмотря на это, есть некоторые шаги, которые можно предпринять, чтобы смягчить угрозу, которую он представляет. Одним из шагов, который можно предпринять, является настройка сервера, чтобы разрешить большее количество клиентов (то есть увеличить максимальный лимит). Другое – заставить сервер ограничивать IP-адреса с точки зрения того, сколько соединений он может иметь. Некоторые другие тактики включают отключение соединений с большей скоростью и ограничение минимальной скорости соединения.
Как эти тактики смягчать Slowloris довольно просты. Эти конфигурации эффективно защищают злоумышленника, не позволяя создавать условия, в которых он нуждается. Без возможности оставаться на связи в течение длительного времени и без многочисленных соединений, отправляющих HTTP-запросы, атака Slowloris становится трудной.
Это не пуленепробиваемый план, так как атака все еще может быть предпринята. Все, что нужно злоумышленнику, – это уделить ему много времени и терпения. Однако есть и другие способы, такие как определенные конфигурации брандмауэра и обратные прокси-серверы. Они также имеют свои ограничения, и не могут полностью предотвратить атаку Slowloris.
Узнайте больше о DDoS
Warren
25.04.2023 @ 07:35
инений, которые не используются, и установку брандмауэра, который может блокировать запросы от известных Slowloris-клиентов. Кроме того, можно использовать специальное программное обеспечение, которое может обнаруживать и предотвращать атаки Slowloris. В целом, важно иметь хорошо настроенную систему безопасности и регулярно обновлять ее, чтобы минимизировать риски от атак, таких как Slowloris.