Slowloris (datorsäkerhet)
 Slowloris körs på kommandotolken
| |
| Initial release | 17 juni 2009 |
|---|---|
| Stabil frisättning | 0,7 |
| Skrivet i | Perl |
| Plattform | Cross-plattform |
| Storlek | 36 kb |
| Typ | Hacking verktyg |
| Hemsida | ha.ckers.org/slowloris/ |
Slowloris är en typ av denial of service- attackverktyg som gör att en enda maskin kan ta ner en annan maskins webbserver med minimal bandbredd och biverkningar på orelaterade tjänster och portar.
Slowloris försöker hålla många anslutningar till målwebbservern öppna och hålla dem öppna så länge som möjligt. Det åstadkommer detta genom att öppna anslutningar till målwebbservern och skicka en partiell begäran. Med jämna mellanrum kommer den att skicka efterföljande HTTP- rubriker, lägga till, men aldrig slutföra, begäran. Berörda servrar kommer att hålla dessa anslutningar öppna, fylla deras maximala samtidiga anslutningspool, och så småningom neka ytterligare anslutningsförsök från klienter.
Programmet fick sitt namn efter långsamma loriser , en grupp primater som är kända för sina långsamma rörelser.
Berörda webbservrar
Detta inkluderar men är inte nödvändigtvis begränsat till följande, enligt attackens författare:
- Apache 1.x och 2.x
- dhttpd
- Websense "blockera sidor" (obekräftad)
- Trapeze Wireless Web Portal (obekräftad)
- Verizons MI424-WR FIOS-kabelmodem (obekräftat)
- Verizons Motorola Set-top-box (port 8082 och kräver autentisering - obekräftad)
- BeeWare WAF (obekräftad)
- Neka alla WAF (lappat)
- Flask (utvecklingsserver)
Eftersom Slowloris utnyttjar problem med att hantera tusentals anslutningar har attacken mindre effekt på servrar som hanterar ett stort antal anslutningar bra. Proxyservrar och cachingacceleratorer som Varnish , nginx och Squid har rekommenderats för att mildra just denna typ av attack. Dessutom är vissa servrar mer motståndskraftiga mot attacken genom sin design, inklusive Hiawatha, IIS , lighttpd , Cherokee och Cisco CSS .
Att mildra Slowloris-attacken
Även om det inte finns några tillförlitliga konfigurationer av de berörda webbservrarna som kommer att förhindra Slowloris-attacken, finns det sätt att mildra eller minska effekten av en sådan attack. Generellt handlar det om att öka det maximala antalet klienter som servern tillåter, att begränsa antalet anslutningar som en enskild IP-adress får göra, att införa begränsningar för den lägsta överföringshastighet en anslutning får ha och att begränsa tidslängden en klient tillåts vara uppkopplad.
I Apache-webbservern kan ett antal moduler användas för att begränsa skadan som orsakas av Slowloris-attacken; Apache-modulerna mod_limitipconn, mod_qos , mod_evasive, mod security , mod_noloris och mod_antiloris har alla föreslagits som medel för att minska sannolikheten för en framgångsrik Slowloris-attack. Sedan Apache 2.2.15 skickar Apache modulen mod_reqtimeout som den officiella lösningen som stöds av utvecklarna.
Andra förmildrande tekniker innefattar att sätta upp omvända proxyservrar , brandväggar , lastbalanserare eller innehållsväxlar . Administratörer kan också ändra den berörda webbservern till programvara som inte påverkas av denna form av attack. Till exempel, lighttpd och nginx ger inte efter för denna specifika attack.
Anmärkningsvärd användning
Under protesterna som bröt ut i kölvattnet av det iranska presidentvalet 2009, uppstod Slowloris som ett framstående verktyg som användes för att utnyttja DoS- attacker mot webbplatser som drivs av den iranska regeringen. Tron var att översvämningar av DDoS -attacker skulle påverka internetåtkomsten för regeringen och demonstranter lika mycket på grund av den betydande bandbredd de kan konsumera. Slowloris-attacken valdes istället på grund av dess höga effekt och relativt låga bandbredd. Ett antal regeringsdrivna webbplatser var måltavlor under dessa attacker, inklusive gerdab.ir, leader.ir och president.ir.
En variant av denna attack användes av skräppostnätverket River City Media för att tvinga Gmail- servrar att skicka tusentals meddelanden i bulk, genom att öppna tusentals anslutningar till Gmail API med meddelandesändningsförfrågningar, och sedan slutföra dem alla på en gång.
Programmet användes också den 21 oktober 2022 av en okänd webbanvändare som hänvisas till med handtaget "Neon Demon", vilket stängde av webbservrar för det välkända ryska företaget Gazproms webbplatser Gazprom.com och Gazprom.ru, med start omkring 4 :30 PM CST. Servrarna var offline i minst tre månader, fram till 2023.
Liknande programvara
Sedan lanseringen har ett antal program dykt upp som efterliknar funktionen hos Slowloris samtidigt som de tillhandahåller ytterligare funktionalitet eller körs i olika miljöer:
- PyLoris – En protokollagnostisk Python-implementering som stöder Tor- och SOCKS-proxyer.
- Slowloris – En Python 3-implementering av Slowloris med SOCKS proxy-stöd.
- Goloris – Slowloris för nginx, skrivet i Go.
- slowloris - Distribuerad Golang implementering
- QSlowloris – En körbar form av Slowloris designad för att köras på Windows, med ett Qt- gränssnitt .
- En namnlös PHP-version som kan köras från en HTTP-server.
- SlowHTTPTest – En mycket konfigurerbar simulator för långsamma attacker, skriven i C++.
- SlowlorisChecker – En Slowloris och Slow POST POC (Proof of concept). Skrivet i Ruby.
- Cyphon - Slowloris för Mac OS X, skriven i Objective-C.
- sloww - Slowloris-implementering skriven i Node.js.
- dotloris - Slowloris skriven i .NET Core
- SlowDroid - En förbättrad version av Slowloris skriven i Java, som åtminstone minskar attackens bandbredd
Se även
- SlowDroid
- Trinoo
- Stacheldraht
- Förnekande av tjänsten
- LANDA
- Jonkanon med låg omloppsbana
- Hög orbit jonkanon
- ReDoS
- RU-Dead-Yet
externa länkar
- Slowloris HTTP DoS
- hackaday på Slowloris
- Apache attackerad av en "långsam loris" -artikel på LWN.net
- Slowloris – en kort video (inklusive en demo)
- Hemsida för SlowHTTPTest
- Ett försök att simulera SlowLoris på LOIC
- Blogginlägg som förklarar Slowloris inre funktioner