Nietypowy atak na serwery WWW

Nietypowy atak na serwery WWW20.06.2009 01:32
Grzegorz Niemirowski

Klasyczne ataki odmowy usługi (Denial of Service, DoS), polegająna wysyłaniu bardzo dużej liczby zapytań do serwera w krótkimczasie w celu przeciążenia go. Nieraz wysyłane są one z wielumiejsc, wtedy mówimy o rozproszonym ataku DoS (Distributed DoS,DDoS). Powstał jednak pomysł ataku DoS, który wymagałby wysyłaniamałej ilości danych. Pisano o nim już dwa lata temu, ale dopieroteraz pojawiło się odpowiednie narzędzie. Tym programem jest Slowloris. Łączy się on z serwerem WWW i wysyłado niego niekompletny nagłówek HTTP. Nie rozłącza się jednak aserwer czeka na resztę nagłówka. Slowloris nawiązuje wiele takichpołączeń i powoduje, że na serwerze wisi wiele połączeń, cozazwyczaj powiązane jest ze stworzeniem wielu wątków. Serwer zawszema jakieś ograniczenie na ilość połączeń lub wątków więc Slowlorispowoduje wykorzystanie ich wszystkich. Gdy połączenie próbujenawiązać normalny użytkownik, jego żądanie nie zostaje obsłużonegdyż serwer przekroczył swoje limity. Działa więc to trochę podobnie do ataku DoS wykorzystującegopółotwarte połączenia TCP. Tutaj jednak ma to miejsce na poziomieHTTP a same połączenia TCP są pełne. Co ciekawe podczas ataku niema po nim śladu w logach, są one zapisywane bowiem dopiero poodebraniu pełnego zapytania. Dopiero po rozłączeniu pojawi się dużowpisów z kodem 400. Jak wykazały eksperymenty, podatne serwery WWW to: Apache 1.x,Apache 2.x, dhttpd, GoAhead WebServer a także Squid. Z kolei nie sąpodatne: IIS6.0, IIS7.0, Cherokee i lighttpd. Narzędzie jestnapisane w perlu, może więc działać pod różnymi systemami. NaWindows jednak nie działa ze względu na limity ilości gniazd.

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (113)