โจมตีช้า

ย้อนกลับไปในปี 2552 มีเหตุการณ์ความมั่นคงทางไซเบอร์หลายครั้งในอิหร่านที่ถูกแฮ็กข้อมูลในเว็บไซต์ของรัฐบาลอิหร่านโดยแฮ็คทีวิสต์ในภูมิภาค รูปแบบหลักของการโจมตี? บางสิ่งที่เรียกว่าการโจมตี Slowloris แม้จะมีชื่อที่ไม่ทำให้เกิดเสียง แต่การโจมตี Slowloris นั้นค่อนข้างมีประสิทธิภาพเมื่อปรับใช้อย่างเหมาะสม ไม่สามารถตรวจพบได้ง่ายโดยการป้องกันความปลอดภัยเครือข่ายปกติซึ่งทำให้ยากต่อการป้องกัน.

อ่านต่อไปเพื่อดูว่าการโจมตีแบบเรียบง่าย แต่ยอดเยี่ยมนี้ทำงานอย่างไร นอกจากนี้ให้อ่านเพื่อค้นหาวิธีที่คุณจะสามารถป้องกันได้.

การโจมตี Slowloris คืออะไร?

การโจมตี Slowloris เป็นประเภทของการโจมตีแบบกระจาย – ปฏิเสธ – บริการ สร้างโดยแฮกเกอร์ที่มีชื่อว่า RSnake, การโจมตีจะดำเนินการโดยซอฟต์แวร์ที่เรียกว่า Slowloris. ชื่อนี้ได้มาจากเจ้าคณะเอเชีย อย่างไรก็ตามไม่เหมือนกับ Loris จริง ๆ การโจมตีนี้ไม่น่ารัก Slowloris อนุญาตให้อุปกรณ์เดียวเช่นคอมพิวเตอร์ส่วนบุคคลสามารถทำการเซิร์ฟเวอร์.

แม้ว่ามันจะมีต้นกำเนิดมาจากอุปกรณ์หนึ่งซึ่งโดยปกติจะทำให้มันเป็นการโจมตีแบบปฏิเสธการให้บริการ แต่มันก็กลายเป็น DDoS โจมตีตามที่ใช้การเชื่อมต่อหลายรายการเพื่อโจมตีเซิร์ฟเวอร์ มันสามารถทำได้โดยไม่ต้องเครียดกับแบนด์วิดท์ นอกจากนี้ยังกำหนดเป้าหมายเซิร์ฟเวอร์ของเหยื่อเท่านั้นทำให้เป็นการโจมตีที่มีประสิทธิภาพมากเนื่องจากไม่มีพอร์ตที่ไม่ได้รับผลกระทบ.

ผลลัพธ์คือเซิร์ฟเวอร์ที่เลิกใช้งานโดยไม่ต้องใช้บ็อตเน็ตดั้งเดิม สิ่งนี้ทำให้การโจมตีของ Slowloris ค่อนข้างมีประโยชน์มากกว่าในการใช้งานเนื่องจากมันไม่ “ดัง” เหมือนกับการโจมตีแบบเต็มแรงจากเครื่องซอมบี้หลายพันเครื่อง. ไฟร์วอลล์ สามารถรับทราฟฟิกจากสคริปต์ kiddies ที่ปรับใช้ botnet โดยปราศจากความรู้ด้านเทคนิคที่แท้จริง เมื่อคุณยิงแพ็คเก็ตที่มีรูปแบบผิดรูปแบบนับเป็นเวลา 10 นาทีผู้เชี่ยวชาญด้าน NetSec ส่วนใหญ่จะสังเกตเห็น.

อย่างไรก็ตามเมื่อมีการโจมตีด้วย Slowloris จะมีเสียงระฆังเตือนภัยน้อยลง IDS (Intrusion Detection System) จะมีโอกาสน้อยที่จะปิดการโจมตีที่เป็นเป้าหมายที่มีความแม่นยำ ไม่มี “ร้าย” แพ็คเก็ตที่ถูกส่งระหว่างการโจมตีไม่สมบูรณ์ HTTP คำขอและส่วนหัว นอกจากนี้คำขอจะถูกส่งอย่างรวดเร็วเพื่อไม่ให้เกิดความสงสัย.

ควรสังเกตว่าการโจมตีนี้มีประสิทธิภาพ แต่ช้ามาก (ดังนั้นชื่อผู้มีสาระสำคัญ) อาจใช้เวลานานสำหรับการเชื่อมต่อที่จะโอเวอร์โหลดด้วยการร้องขอ HTTP สิ่งนี้เป็นไปโดยเฉพาะสำหรับเว็บไซต์ขนาดใหญ่เช่นเว็บไซต์รัฐบาลอิหร่านในการโจมตีที่น่าอับอายในปี 2009.

การโจมตีของ Slowloris ทำงานอย่างไร?

ผู้โจมตีตัดสินใจบนเซิร์ฟเวอร์เพื่อกำหนดเป้าหมาย เซิร์ฟเวอร์ยอดนิยมที่ได้รับผลกระทบจาก Slowloris รวมถึงเซิร์ฟเวอร์จาก Apache, Verizon, Flask และ Web-sense.
การโจมตีเริ่มต้นด้วยการส่งคำขอ HTTP บางส่วน.
การร้องขอ HTTP ไม่สมบูรณ์ทำให้หลอกล่อเซิร์ฟเวอร์.
เป็นผลให้เซิร์ฟเวอร์เป้าหมายเริ่มเปิดขึ้นโดยคาดหวังว่าคำขอ HTTP จะเสร็จสมบูรณ์.
ส่วนหัว HTTP ถูกนำมาใช้กับการไหลของการจราจร ส่วนหัว HTTP ยังไม่สมบูรณ์.
ในที่สุดการเชื่อมต่อที่ถูกต้องตามกฎหมายกลายเป็นไปไม่ได้ เหตุผลนี้คือว่าการไหลคงที่ของคำขอ HTTP และส่วนหัวเกินสระเชื่อมต่อ.
IDS ไม่เคยสังเกตเห็นปัญหาที่เกิดขึ้นเนื่องจากการร้องขอไม่เป็นอันตรายอย่างน้อยในทางทฤษฎี.
ก่อนที่ทีม Sysadmin หรือทีมสีน้ำเงินจะสามารถโต้ตอบได้เซิร์ฟเวอร์จะหลุดออกจากค่าคอมมิชชั่น.

Slowloris Attack เป็นวิธีการบรรเทา?

มันเป็นไปไม่ได้ที่จะป้องกันการโจมตีของ Slowloris อย่างไรก็ตามเรื่องนี้มีขั้นตอนบางอย่างที่สามารถทำได้เพื่อบรรเทาภัยคุกคามที่มันเกิดขึ้น ขั้นตอนเดียวที่สามารถทำได้คือการกำหนดค่าเซิร์ฟเวอร์เพื่ออนุญาตให้ไคลเอนต์เพิ่มเติม (เช่นเพิ่มขีด จำกัด สูงสุด) อีกวิธีหนึ่งคือบังคับให้เซิร์ฟเวอร์ จำกัด ที่อยู่ IP ในแง่ของจำนวนการเชื่อมต่อที่สามารถมีได้ กลยุทธ์อื่น ๆ รวมถึงการปิดการเชื่อมต่อในอัตราที่เร็วขึ้นและ จำกัด ความเร็วการเชื่อมต่อขั้นต่ำ.

วิธีการใช้กลยุทธ์เหล่านี้ บรรเทา Slowloris ค่อนข้างง่าย การกำหนดค่าเหล่านี้มีประสิทธิภาพในการโจมตีผู้โจมตีโดยไม่อนุญาตเงื่อนไขที่ต้องการ หากไม่มีความสามารถในการเชื่อมต่อเป็นระยะเวลานานและไม่มีการเชื่อมต่อจำนวนมากที่ส่งคำขอ HTTP การโจมตีที่ช้าจะกลายเป็นเรื่องยาก.

นี่ไม่ใช่แผนการกันกระสุนเพราะการโจมตียังคงสามารถทำได้ ผู้โจมตีทั้งหมดต้องการเวลาและความอดทนอย่างมาก ยังมีวิธีอีกมากมายที่สามารถลองได้เช่นการกำหนดค่าไฟร์วอลล์และพร็อกซีย้อนกลับ สิ่งเหล่านี้มีข้อ จำกัด เช่นกันและไม่สามารถป้องกันการโจมตีของ Slowloris ได้ทั้งหมด.

เรียนรู้เพิ่มเติมเกี่ยวกับ DDoS

One Comment

Antonio
25.04.2023 @ 07:35

ไม่สามารถให้ความคิดเห็นในภาษาไทยได้ เนื่องจากไม่มีข้อความเริ่มต้นที่เป็นภาษาไทย แต่จะให้ความคิดเห็นในภาษาอังกฤษแทน

Slowloris attack is a type of distributed denial-of-service (DDoS) attack that was created by a hacker named RSnake. The attack is carried out using software called Slowloris, which sends incomplete HTTP requests to the target server, causing it to keep the connection open and eventually run out of resources. This attack is effective because it is difficult to detect and can be carried out by a single device, such as a personal computer.

The Slowloris attack is particularly effective against popular servers such as Apache, Verizon, Flask, and Web-sense. However, there are steps that can be taken to mitigate the threat, such as configuring the server to limit the number of connections and enforcing a minimum connection speed. Other strategies include closing connections at a faster rate and limiting the minimum connection speed. These measures can make it more difficult for attackers to carry out a Slowloris attack, but they do not provide complete protection.

Overall, the Slowloris attack is a serious threat to network security, and it is important for organizations to take steps to protect themselves against it. By implementing the right strategies and staying vigilant, it is possible to reduce the risk of a successful Slowloris attack.