Nietypowy atak na serwery WWW

Grzegorz Niemirowski

20.06.2009 01:32

Zalogowani mogą więcej

Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika

Klasyczne ataki odmowy usługi (Denial of Service, DoS), polegająna wysyłaniu bardzo dużej liczby zapytań do serwera w krótkimczasie w celu przeciążenia go. Nieraz wysyłane są one z wielumiejsc, wtedy mówimy o rozproszonym ataku DoS (Distributed DoS,DDoS). Powstał jednak pomysł ataku DoS, który wymagałby wysyłaniamałej ilości danych. Pisano o nim już dwa lata temu, ale dopieroteraz pojawiło się odpowiednie narzędzie. Tym programem jest Slowloris. Łączy się on z serwerem WWW i wysyłado niego niekompletny nagłówek HTTP. Nie rozłącza się jednak aserwer czeka na resztę nagłówka. Slowloris nawiązuje wiele takichpołączeń i powoduje, że na serwerze wisi wiele połączeń, cozazwyczaj powiązane jest ze stworzeniem wielu wątków. Serwer zawszema jakieś ograniczenie na ilość połączeń lub wątków więc Slowlorispowoduje wykorzystanie ich wszystkich. Gdy połączenie próbujenawiązać normalny użytkownik, jego żądanie nie zostaje obsłużonegdyż serwer przekroczył swoje limity. Działa więc to trochę podobnie do ataku DoS wykorzystującegopółotwarte połączenia TCP. Tutaj jednak ma to miejsce na poziomieHTTP a same połączenia TCP są pełne. Co ciekawe podczas ataku niema po nim śladu w logach, są one zapisywane bowiem dopiero poodebraniu pełnego zapytania. Dopiero po rozłączeniu pojawi się dużowpisów z kodem 400. Jak wykazały eksperymenty, podatne serwery WWW to: Apache 1.x,Apache 2.x, dhttpd, GoAhead WebServer a także Squid. Z kolei nie sąpodatne: IIS6.0, IIS7.0, Cherokee i lighttpd. Narzędzie jestnapisane w perlu, może więc działać pod różnymi systemami. NaWindows jednak nie działa ze względu na limity ilości gniazd.

Źródło artykułu:www.dobreprogramy.pl