Slowloris-hyökkäys


Slowloris-hyökkäys

Vuonna 2009 Iranissa tapahtui joukko verkkoturvallisuuteen liittyviä vaaratilanteita, joita alueen haktivistidit toteuttivat Iranin hallituksen verkkosivustoja vastaan. Hyökkäyksen ensisijainen muoto? Jotain kutsutaan Slowlorisin hyökkäykseksi. Hyvästä kuulostavasta nimestä huolimatta Slowloris-hyökkäys voi olla varsin tehokas, kun sitä käytetään oikein. Sitä ei voida helposti havaita normaaleilla verkon suojaustoiminnoilla, mikä vaikeuttaa puolustamista.


Lue edelleen, kuinka tämä yksinkertainen mutta loistava hyökkäys toimii. Lue myös, kuinka voit puolustaa sitä vastaan.

Mikä on Slowloris Attack?

Slowloris-hyökkäys on eräänlainen hajautettu palvelunestohyökkäys. Perustanut hakkeri nimeltä RSnake, hyökkäyksen suorittaa ohjelmisto, jota kutsutaan Slowloris. Nimi on johdettu Aasian kädellisestä; kuitenkin toisin kuin todelliset hitaat lorit, tämä hyökkäys ei ole ihana. Slowloris sallii yhden laitteen, kuten henkilökohtaisen tietokoneen, poistaa palvelimen.

Vaikka se on peräisin yhdestä laitteesta, joka yleensä tekisi siitä palvelunestohyökkäyksen, siitä tulee DDoS hyökkäys, koska se käyttää useita yhteyksiä palvelimen hyökkäämiseen. Se voi tehdä tämän rasittamatta kaistanleveyttä. Lisäksi se kohdistuu vain uhrin palvelimeen, mikä tekee siitä erittäin tehokkaan hyökkäyksen, koska se ei vaikuta kohdistamattomiin portteihin.

Tuloksena on palvelin, joka lakkautetaan käytöstä ilman perinteistä bottiverkkoa. Tämä tekee Slowlorisin hyökkäyksestä jonkin verran edullisemman käytön, koska se ei ole niin ”äänekäs” kuin tuhansien zombi-koneiden täysvoimainen hyökkäys.. palomuurit voi poimia liikennettä bottiverkon käyttöön ottavilta komentosarjoilta, joilla ei ole todellista teknistä tietoa. Kun amputat tuhansia väärin muodostuneita paketteja esimerkiksi 10 minuutin välein, suurin osa NetSec-ammattilaisista huomaa sen.

Slowloris-hyökkäyksessä kuitenkin vähemmän hälytyskelloja lähetetään. IDS (Tunkeutumisen havaitsemisjärjestelmä) sulkee vähemmän todennäköisesti tarkkuuteen kohdistetun hyökkäyksen. Ei ole olemassa “ilkeä”Paketit, jotka lähetetään hyökkäyksen aikana, vain puutteelliset HTTP pyynnöt ja otsikot. Lisäksi pyynnöt lähetetään sujuvasti, jotta ei aiheutuisi epäilyksiä.

On huomattava, että tämä hyökkäys on tehokas, mutta se on hyvin hidasta (tästä syystä söpö nimi). Yhteyden ylikuormittaminen HTTP-pyyntöjen kanssa voi viedä kauan. Tämä koskee erityisesti suuria verkkosivustoja, kuten Iranin hallituksen verkkosivustoja pahamaineisissa vuoden 2009 hyökkäyksissä.

Kuinka Slowloris-hyökkäys toimii?

  1. Hyökkääjä päättää palvelimen kohdistaa. Suosittuihin palvelimiin, joihin Slowloris vaikuttaa, kuuluvat Apache-, Verizon-, Flask- ja Web-sense-palvelimet.
  2. Hyökkäys alkaa lähettämällä osittaisia ​​HTTP-pyyntöjä.
  3. HTTP-pyynnöt eivät koskaan täyty, huijaten palvelinta.
  4. Seurauksena kohdennettu palvelin alkaa avautua odotettaessa HTTP-pyyntöjen täyttymistä.
  5. HTTP-otsikot johdetaan liikennevirtaan. HTTP-otsikot eivät myöskään koskaan täyty.
  6. Lopulta laillisista yhteyksistä tulee mahdottomia. Syynä tähän on, että HTTP-pyyntöjen ja otsikoiden jatkuva virta ylikuormittaa yhteysvarantoa.
  7. IDS ei koskaan huomaa esiintyvää ongelmaa, koska pyynnöt eivät ole ainakaan teoriassa haitallisia.
  8. Ennen kuin Sysadmin tai sininen joukkue voi reagoida, palvelin koputetaan käytöstä.

Kuinka Slowloris-hyökkäystä lievitetään?

Slowloris-hyökkäyksen estäminen on mahdotonta. Tästä huolimatta on joitain toimenpiteitä, jotka voidaan toteuttaa lievittääkseen uhkaa. Yksi suoritettava vaihe on palvelimen määrittäminen sallimaan enemmän asiakkaita (ts. Nostamaan enimmäisrajaa). Toinen on pakottaa palvelin rajoittamaan IP-osoitteet suhteessa siihen, kuinka monta yhteyttä sillä voi olla. Joitakin muita taktiikoita ovat yhteyksien lopettaminen nopeammalla nopeudella ja vähimmäisyhteysnopeuden rajoittaminen.

Tapa miten nämä taktiikat Vähennä Slowlorit ovat melko yksinkertaisia. Nämä kokoonpanot suojaavat hyökkääjää tehokkaasti, koska ne eivät salli tarvittavia olosuhteita. Ilman kykyä pysyä yhteydessä pitkään ja ilman lukuisia yhteyksiä, jotka lähettävät HTTP-pyyntöjä, Slowlorisin hyökkäys tulee vaikeaksi..

Tämä ei ole luodinkestävä suunnitelma, koska hyökkäystä voidaan silti yrittää. Kaikki hyökkääjän tarpeet vaativat paljon aikaa heidän kädessään ja kärsivällisyyttä. On kuitenkin vielä enemmän menetelmiä, joita voidaan kokeilla, kuten tietyt palomuurimääritykset ja käänteiset välityspalvelimet. Näillä on kuitenkin myös rajoituksensa, eivätkä ne voi täysin estää Slowlorisin hyökkäystä.

Lisätietoja DDoS: sta

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map