Attaque de Slowloris


Attaque de Slowloris

En 2009, une série d’incidents de cybersécurité en Iran ont été perpétrés contre des sites Web du gouvernement iranien par des hacktivistes de la région. La principale forme d’attaque? Quelque chose appelé une attaque de Slowloris. Malgré le nom à consonance bénigne, une attaque Slowloris peut être assez efficace lorsqu’elle est déployée correctement. Il ne peut pas être facilement détecté par les défenses de sécurité réseau normales, ce qui rend très difficile la défense contre.


Lisez la suite pour découvrir comment fonctionne cette attaque simple mais brillante. Lisez également pour savoir comment vous défendre contre.

Qu’est-ce qu’une attaque Slowloris?

Une attaque Slowloris est un type d’attaque par déni de service distribué. Créé par un pirate nommé RSnake, l’attaque est réalisée par un logiciel appelé Slowloris. Le nom est dérivé du primate asiatique; cependant contrairement aux vrais loris lents, cette attaque n’est pas adorable. Slowloris permet à un seul appareil, tel qu’un ordinateur personnel, de supprimer un serveur.

Bien qu’il provienne d’un appareil, ce qui en ferait normalement une attaque par déni de service, il devient un DDoS attaque car il utilise plusieurs connexions pour attaquer un serveur. Il peut le faire sans mettre à rude épreuve la bande passante. De plus, il cible uniquement le serveur de la victime, ce qui en fait une attaque très efficace car aucun port non ciblé n’est affecté.

Le résultat est un serveur mis hors service sans l’utilisation d’un botnet traditionnel. Cela rend l’attaque Slowloris un peu plus avantageuse à utiliser, car elle n’est pas aussi «forte» qu’une attaque à pleine force de milliers de machines zombies. Pare-feu peut récupérer le trafic des script kiddies déployant un botnet sans aucune connaissance technique réelle. Lorsque vous déclenchez des milliers de paquets mal formés en, disons, en 10 minutes, la plupart des professionnels de NetSec le remarqueront.

Avec une attaque Slowloris, cependant, moins de sonnettes d’alarme sont déclenchées. Une IDS (Système de détection d’intrusion) sera moins susceptible de stopper une attaque ciblée avec précision. Il n’y a pas “mal intentionné“Paquets envoyés pendant l’attaque, incomplets HTTP demandes et en-têtes. De plus, les demandes sont envoyées à un rythme détendu afin de ne pas éveiller les soupçons.

Il est à noter que cette attaque est efficace, mais elle est très lente (d’où le nom acéré). Il peut s’écouler un certain temps avant que la connexion ne soit surchargée de requêtes HTTP. Cela vaut en particulier pour les grands sites Web, tels que les sites Web du gouvernement iranien lors des infâmes attaques de 2009..

Comment fonctionne une attaque Slowloris?

  1. Un attaquant décide d’un serveur à cibler. Les serveurs populaires affectés par Slowloris incluent les serveurs d’Apache, Verizon, Flask et Web-sense.
  2. L’attaque commence par l’envoi de requêtes HTTP partielles.
  3. Les requêtes HTTP ne se terminent jamais, trompant le serveur.
  4. En conséquence, le serveur cible commence à s’ouvrir en prévision de la fin des requêtes HTTP.
  5. Les en-têtes HTTP sont introduits dans le flux de trafic. Les en-têtes HTTP ne sont également jamais terminés.
  6. Finalement, les connexions légitimes deviennent impossibles. La raison en est que le flux constant de requêtes HTTP et d’en-têtes surchargent le pool de connexions.
  7. L’IDS ne remarque jamais le problème, car les demandes ne sont pas, au moins en théorie, malveillantes.
  8. Avant que le Sysadmin ou l’équipe bleue puisse réagir, le serveur est mis hors service.

Comment une attaque Slowloris est-elle atténuée?

Il est impossible d’empêcher une attaque Slowloris. Malgré cela, certaines mesures peuvent être prises pour atténuer la menace que cela représente. Une étape qui peut être prise consiste à configurer un serveur pour autoriser plus de clients (c’est-à-dire augmenter la limite maximale). Une autre consiste à forcer le serveur à limiter Adresses IP en termes de nombre de connexions qu’il peut avoir. Certaines autres tactiques incluent l’arrêt des connexions à un rythme plus rapide et la limitation de la vitesse de connexion minimale.

La façon dont ces tactiques atténuer a Slowloris est assez simple. Ces configurations mettent efficacement un attaquant au genou en ne permettant pas les conditions mêmes dont il a besoin. Sans la possibilité de rester connecté pendant de longues périodes et sans de nombreuses connexions envoyant des requêtes HTTP, l’attaque Slowloris devient difficile à réaliser.

Ce n’est pas un plan pare-balles, car l’attaque peut toujours être tentée. Tout ce dont un attaquant a besoin, c’est de beaucoup de temps et de patience. Il existe cependant d’autres méthodes que l’on peut essayer, comme certaines configurations de pare-feu et des proxys inversés. Cependant, ceux-ci ont également leurs limites et ne peuvent pas empêcher complètement l’attaque de Slowloris..

En savoir plus sur les DDoS

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map