Ochrona przed atakiem slowloris (DoS nagłówków w Apache): Różnice pomiędzy wersjami

Slow Loris

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Slowloris.pl_(Skrypt)

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

• 1) Drastyczne zwiększenie liczby otwartych połączeń
• 2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
• 3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.

• 1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
• 2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
• 3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.