Home>
Slowloris
03
Im Vergleich zu herkömmlichen Flood-Angriffen kommt eine Slowloris-Attacke mit relativ wenig Ressourcen auf Seiten des Angreifers aus. Auch die Last auf dem Ziel-Server steigt dabei nicht an, vielmehr hält er zu viele Verbindungen zu lange offen, ohne etwas zu tun.
Es handelt sich hierbei allerdings nicht um einen TCP DoS, da eine vollständige TCP-Verbindung hergestellt wird, nicht eine partielle, aber es werden partielle HTTP-Anfragen gestellt. Damit handelt es sich um das Äquivalent zu einer SYN-Flood-Attacke, nur eben über HTTP. Ein Beispiel für den Unterschied ist, dass bei zwei Webservern, die auf demselben Rechner laufen, ein Server mit DoS angegriffen werden kann, ohne dass die andere Webserver-Instanz betroffen ist. Slowloris ist auch kein GET-Request-Flooder. Slowloris benötigt nur ein paar hundert Anfragen in langfristigen und regelmäßigen Abständen, im Gegensatz zu Zehntausenden auf einer kontinuierlichen Basis.
05
Slowloris ist vor allem für Webserver, die Thread-Prozesse verwenden und versuchen, diese zu begrenzen, um eine Erschöpfung des Speichers zu verhindern, eine Bedrohung. Betroffen sind mitunter Apache-Server, die den direkten Zugriff aus dem Internet zulassen.
Zu den verwundbaren Systemen zählen unter anderem:
Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Ein prominenter Slowloris-Angriff ereignete sich noch im Jahr der Entstehung der Software im Iran: Während der Präsidentschaftswahlen 2009 wurde Slowloris gegen die Webserver der iranischen Regierung eingesetzt. Die Angreifer bevorzugten Slowloris gegenüber einem traditionellen Denial-of-Service-Angriff, da ein solcher herkömmlicher Angriff sehr viele Netzwerkressourcen verbraucht und damit auch der Protestbewegung im Land geschadet hätte. Von den Angriffen mit Slowloris waren gerdab.ir, leader.ir und president.ir betroffen.
06
Seit der Veröffentlichung von Slowloris sind einige weitere Programme erschienen, die die Funktion von Slowloris nachahmen und weitere Funktionen bieten oder in anderen Umgebungen laufen:
PyLoris
eine Pythonimplementierung, die Tor- und SOCKS-Proxys unterstützt
QSlowloris
ein Binärprogramm, das unter Windows läuft und eine Qt-Oberfläche hat
dotloris
eine Slowloris-Variante geschrieben in .NET Core
Slowloris.hx
eine Implementation in der Programmiersprache Haxe
09
Der Myra Multi Cloud Load Balancer erlaubt das Verteilen von Zugriffen auf eine beliebige Anzahl von Servern – auch über mehrere Rechenzentren hinweg. Redundant, hochverfügbar, skalierbar. Der Myra DDoS Schutz in Verbindung mit der Myra Hyperscale WAF schützt Anwendungen vor unzulässigen und gefährlichen Anfragen. Die sofort skalierbare Lösung ermöglicht nahezu unbegrenzte Kapazität zur Anfragenabwehr.