Pag-atake ng Slowloris


Pag-atake ng Slowloris

Bumalik sa taon 2009, mayroong isang serye ng mga insidente ng cybersecurity sa Iran na isinagawa laban sa mga website ng gobyerno ng Iran ng mga hacktivist sa rehiyon. Ang pangunahing anyo ng pag-atake? Isang bagay na tinatawag na isang atake ng Slowloris. Sa kabila ng hindi kapani-paniwala na tunog, ang isang pag-atake ng Slowloris ay maaaring maging epektibo kung na-deploy nang maayos. Hindi ito madaling makita ng mga normal na pagtatanggol sa seguridad sa network, na napakahirap na ipagtanggol laban.


Basahin ang upang malaman kung paano gumagana ang simple ngunit napakatalino na pag-atake na ito. Gayundin, basahin upang malaman kung paano ka maaaring ipagtanggol laban dito.

Ano ang isang Slowloris Attack?

Ang isang pag-atake ng Slowloris ay isang uri ng atake na Ipinamahagi-Denial-of-Service. Nilikha ng isang hacker na pinangalanan RSnake, ang pag-atake ay isinasagawa ng isang piraso ng software na tinatawag Slowloris. Ang pangalang ito ay nagmula sa pagkapareho sa Asya; gayunpaman hindi tulad ng tunay na Slow loris, ang pag-atake na ito ay hindi kaibig-ibig. Pinapayagan ng Slowloris ang isang solong aparato, tulad ng isang personal na computer, na ibagsak ang isang server.

Kahit na nagmula ito sa isang aparato, na karaniwang gawin itong isang pag-atake ng Denial-of-Service, nagiging isang DDoS atake habang gumagamit ito ng maraming mga koneksyon upang atakein ang isang server. Magagawa ito nang hindi naglalagay ng isang pilay sa bandwidth. Bukod dito, target lamang nito ang server ng biktima, ginagawa itong isang mabisang pag-atake dahil walang apektadong mga port na apektado.

Ang resulta ay isang server na inalis sa komisyon nang walang paggamit ng isang tradisyunal na botnet. Ginagawa nitong pag-atake ang Slowloris na medyo kapaki-pakinabang na gamitin, dahil hindi ito “malakas” bilang isang buong pag-atake mula sa libu-libong mga zombie machine. Mga firewall maaaring kunin ang trapiko mula sa mga kiddies ng script na gumagamit ng isang botnet nang walang anumang tunay na kaalaman sa teknikal. Kapag nag-apoy ka ng libu-libong mga malformed packet in, sabihin mo, isang span ng 10 minuto, napapansin ito ng karamihan sa mga propesyonal sa NetSec.

Sa pag-atake ng Slowloris, gayunpaman, mas kaunting mga kampana ng alarma ang naka-set. Isang IDS (Ang Intrusion Detection System) ay mas malamang na i-shut down ang isang pag-atake na na-target sa precision. Walang mga “may masamang hangarin“Mga packet na ipinadala sa panahon ng pag-atake, hindi kumpleto HTTP mga kahilingan at header. Bilang karagdagan, ang mga kahilingan ay ipinadala sa isang nakakarelaks na bilis upang hindi pukawin ang hinala.

Dapat pansinin na ang pag-atake na ito ay epektibo, ngunit napakabagal (samakatuwid ang pangalan ng pithy). Maaaring tumagal ng mahabang panahon para sa koneksyon na maging labis na na-overload sa mga kahilingan ng HTTP. Napunta ito lalo na para sa mga malalaking website, tulad ng mga website ng gobyerno ng Iran sa kasumpa-sumpa na pag-atake ng 2009.

Paano Gumagana ang isang Slowloris Attack?

  1. Ang isang magsasalakay ay nagpapasya sa isang server upang mai-target. Ang mga sikat na server na apektado ng Slowloris ay may kasamang mga server mula sa Apache, Verizon, Flask, at Web-sense.
  2. Ang pag-atake ay nagsisimula sa pamamagitan ng pagpapadala ng mga kahilingan sa HTTP.
  3. Ang mga kahilingan sa HTTP ay hindi nakumpleto, tinutuya ang server.
  4. Bilang isang resulta, ang target na server ay nagsisimula sa pagbubukas sa paghihintay para sa mga kahilingan ng HTTP.
  5. Ang mga header ng HTTP ay ipinakilala sa daloy ng trapiko. Ang mga header ng HTTP ay hindi rin kumpleto.
  6. Nang maglaon, imposible ang mga lehitimong koneksyon. Ang dahilan para sa mga ito ay ang patuloy na daloy ng mga kahilingan ng HTTP at header na overload ang koneksyon pool.
  7. Hindi napapansin ng IDS ang isyu na nagaganap dahil ang mga kahilingan ay hindi, hindi bababa sa teorya, nakakahamak.
  8. Bago ang reaksyon ng Sysadmin o asul na koponan, ang server ay kumatok sa komisyon.

Paano nakalulula ang isang Slowloris Attack?

Imposibleng maiwasan ang isang pag-atake ng Slowloris. Sa kabila nito, may ilang mga hakbang na maaring gawin ng isang tao upang mabawasan ang banta na nagagawa nito. Ang isang hakbang na maaaring gawin ay ang pag-configure ng isang server upang payagan ang maraming mga kliyente (i.e., itaas ang maximum na limitasyon). Ang isa pa ay upang pilitin ang server na limitahan IP address sa mga tuntunin kung gaano karaming mga koneksyon ang maaaring magkaroon nito. Ang ilan pang mga taktika ay kasama ang pag-shut down ng mga koneksyon sa isang mas mabilis na rate at paghihigpit sa pinakamababang bilis ng koneksyon.

Ang paraan ng mga taktika na ito magpagaan isang Slowloris ay medyo simple. Ang mga kumpigurasyong ito ay epektibong lumuhod ng isang umaatake sa pamamagitan ng hindi pinahihintulutan ang mga kundisyon na kailangan nila. Nang walang kakayahang manatiling konektado sa mahabang panahon, at nang walang maraming mga koneksyon na nagpapadala ng mga kahilingan sa HTTP, ang pag-atake ng Slowloris ay nagiging mahirap na hilahin.

Hindi ito isang plano ng bulletproof, dahil ang pagtatangka ay maaari pa ring subukan. Ang lahat ng kailangan ng isang umaatake ay maraming oras sa kanilang mga kamay at pagtitiis. Mayroong pa maraming mga pamamaraan na maaaring subukan ng isa, subalit, tulad ng ilang mga pagsasaayos ng firewall at reverse proxies. Ang mga ito ay mayroon ding kanilang mga limitasyon, bagaman, at hindi lubos na maiiwasan ang pag-atake ng Slowloris.

Dagdagan ang nalalaman tungkol sa DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me