โจมตีช้า


โจมตีช้า

ย้อนกลับไปในปี 2552 มีเหตุการณ์ความมั่นคงทางไซเบอร์หลายครั้งในอิหร่านที่ถูกแฮ็กข้อมูลในเว็บไซต์ของรัฐบาลอิหร่านโดยแฮ็คทีวิสต์ในภูมิภาค รูปแบบหลักของการโจมตี? บางสิ่งที่เรียกว่าการโจมตี Slowloris แม้จะมีชื่อที่ไม่ทำให้เกิดเสียง แต่การโจมตี Slowloris นั้นค่อนข้างมีประสิทธิภาพเมื่อปรับใช้อย่างเหมาะสม ไม่สามารถตรวจพบได้ง่ายโดยการป้องกันความปลอดภัยเครือข่ายปกติซึ่งทำให้ยากต่อการป้องกัน.

อ่านต่อไปเพื่อดูว่าการโจมตีแบบเรียบง่าย แต่ยอดเยี่ยมนี้ทำงานอย่างไร นอกจากนี้ให้อ่านเพื่อค้นหาวิธีที่คุณจะสามารถป้องกันได้.

การโจมตี Slowloris คืออะไร?

การโจมตี Slowloris เป็นประเภทของการโจมตีแบบกระจาย – ปฏิเสธ – บริการ สร้างโดยแฮกเกอร์ที่มีชื่อว่า RSnake, การโจมตีจะดำเนินการโดยซอฟต์แวร์ที่เรียกว่า Slowloris. ชื่อนี้ได้มาจากเจ้าคณะเอเชีย อย่างไรก็ตามไม่เหมือนกับ Loris จริง ๆ การโจมตีนี้ไม่น่ารัก Slowloris อนุญาตให้อุปกรณ์เดียวเช่นคอมพิวเตอร์ส่วนบุคคลสามารถทำการเซิร์ฟเวอร์.

แม้ว่ามันจะมีต้นกำเนิดมาจากอุปกรณ์หนึ่งซึ่งโดยปกติจะทำให้มันเป็นการโจมตีแบบปฏิเสธการให้บริการ แต่มันก็กลายเป็น DDoS โจมตีตามที่ใช้การเชื่อมต่อหลายรายการเพื่อโจมตีเซิร์ฟเวอร์ มันสามารถทำได้โดยไม่ต้องเครียดกับแบนด์วิดท์ นอกจากนี้ยังกำหนดเป้าหมายเซิร์ฟเวอร์ของเหยื่อเท่านั้นทำให้เป็นการโจมตีที่มีประสิทธิภาพมากเนื่องจากไม่มีพอร์ตที่ไม่ได้รับผลกระทบ.

ผลลัพธ์คือเซิร์ฟเวอร์ที่เลิกใช้งานโดยไม่ต้องใช้บ็อตเน็ตดั้งเดิม สิ่งนี้ทำให้การโจมตีของ Slowloris ค่อนข้างมีประโยชน์มากกว่าในการใช้งานเนื่องจากมันไม่ “ดัง” เหมือนกับการโจมตีแบบเต็มแรงจากเครื่องซอมบี้หลายพันเครื่อง. ไฟร์วอลล์ สามารถรับทราฟฟิกจากสคริปต์ kiddies ที่ปรับใช้ botnet โดยปราศจากความรู้ด้านเทคนิคที่แท้จริง เมื่อคุณยิงแพ็คเก็ตที่มีรูปแบบผิดรูปแบบนับเป็นเวลา 10 นาทีผู้เชี่ยวชาญด้าน NetSec ส่วนใหญ่จะสังเกตเห็น.

อย่างไรก็ตามเมื่อมีการโจมตีด้วย Slowloris จะมีเสียงระฆังเตือนภัยน้อยลง IDS (Intrusion Detection System) จะมีโอกาสน้อยที่จะปิดการโจมตีที่เป็นเป้าหมายที่มีความแม่นยำ ไม่มี “ร้าย” แพ็คเก็ตที่ถูกส่งระหว่างการโจมตีไม่สมบูรณ์ HTTP คำขอและส่วนหัว นอกจากนี้คำขอจะถูกส่งอย่างรวดเร็วเพื่อไม่ให้เกิดความสงสัย.

ควรสังเกตว่าการโจมตีนี้มีประสิทธิภาพ แต่ช้ามาก (ดังนั้นชื่อผู้มีสาระสำคัญ) อาจใช้เวลานานสำหรับการเชื่อมต่อที่จะโอเวอร์โหลดด้วยการร้องขอ HTTP สิ่งนี้เป็นไปโดยเฉพาะสำหรับเว็บไซต์ขนาดใหญ่เช่นเว็บไซต์รัฐบาลอิหร่านในการโจมตีที่น่าอับอายในปี 2009.

การโจมตีของ Slowloris ทำงานอย่างไร?

  1. ผู้โจมตีตัดสินใจบนเซิร์ฟเวอร์เพื่อกำหนดเป้าหมาย เซิร์ฟเวอร์ยอดนิยมที่ได้รับผลกระทบจาก Slowloris รวมถึงเซิร์ฟเวอร์จาก Apache, Verizon, Flask และ Web-sense.
  2. การโจมตีเริ่มต้นด้วยการส่งคำขอ HTTP บางส่วน.
  3. การร้องขอ HTTP ไม่สมบูรณ์ทำให้หลอกล่อเซิร์ฟเวอร์.
  4. เป็นผลให้เซิร์ฟเวอร์เป้าหมายเริ่มเปิดขึ้นโดยคาดหวังว่าคำขอ HTTP จะเสร็จสมบูรณ์.
  5. ส่วนหัว HTTP ถูกนำมาใช้กับการไหลของการจราจร ส่วนหัว HTTP ยังไม่สมบูรณ์.
  6. ในที่สุดการเชื่อมต่อที่ถูกต้องตามกฎหมายกลายเป็นไปไม่ได้ เหตุผลนี้คือว่าการไหลคงที่ของคำขอ HTTP และส่วนหัวเกินสระเชื่อมต่อ.
  7. IDS ไม่เคยสังเกตเห็นปัญหาที่เกิดขึ้นเนื่องจากการร้องขอไม่เป็นอันตรายอย่างน้อยในทางทฤษฎี.
  8. ก่อนที่ทีม Sysadmin หรือทีมสีน้ำเงินจะสามารถโต้ตอบได้เซิร์ฟเวอร์จะหลุดออกจากค่าคอมมิชชั่น.

Slowloris Attack เป็นวิธีการบรรเทา?

มันเป็นไปไม่ได้ที่จะป้องกันการโจมตีของ Slowloris อย่างไรก็ตามเรื่องนี้มีขั้นตอนบางอย่างที่สามารถทำได้เพื่อบรรเทาภัยคุกคามที่มันเกิดขึ้น ขั้นตอนเดียวที่สามารถทำได้คือการกำหนดค่าเซิร์ฟเวอร์เพื่ออนุญาตให้ไคลเอนต์เพิ่มเติม (เช่นเพิ่มขีด จำกัด สูงสุด) อีกวิธีหนึ่งคือบังคับให้เซิร์ฟเวอร์ จำกัด ที่อยู่ IP ในแง่ของจำนวนการเชื่อมต่อที่สามารถมีได้ กลยุทธ์อื่น ๆ รวมถึงการปิดการเชื่อมต่อในอัตราที่เร็วขึ้นและ จำกัด ความเร็วการเชื่อมต่อขั้นต่ำ.

วิธีการใช้กลยุทธ์เหล่านี้ บรรเทา Slowloris ค่อนข้างง่าย การกำหนดค่าเหล่านี้มีประสิทธิภาพในการโจมตีผู้โจมตีโดยไม่อนุญาตเงื่อนไขที่ต้องการ หากไม่มีความสามารถในการเชื่อมต่อเป็นระยะเวลานานและไม่มีการเชื่อมต่อจำนวนมากที่ส่งคำขอ HTTP การโจมตีที่ช้าจะกลายเป็นเรื่องยาก.

นี่ไม่ใช่แผนการกันกระสุนเพราะการโจมตียังคงสามารถทำได้ ผู้โจมตีทั้งหมดต้องการเวลาและความอดทนอย่างมาก ยังมีวิธีอีกมากมายที่สามารถลองได้เช่นการกำหนดค่าไฟร์วอลล์และพร็อกซีย้อนกลับ สิ่งเหล่านี้มีข้อ จำกัด เช่นกันและไม่สามารถป้องกันการโจมตีของ Slowloris ได้ทั้งหมด.

เรียนรู้เพิ่มเติมเกี่ยวกับ DDoS

  รับชม Netflix ภาษาฝรั่งเศสจากทุกที่