Что такое DDoS-атака Slowloris?


Slowloris — это программа атаки типа «отказ в обслуживании », которая позволяет злоумышленнику перегрузить целевой сервер, открывая и поддерживая множество одновременных HTTP- соединений между злоумышленником и целью.


Как работает атака Slowloris?

Slowloris — это атака на уровне приложений, которая работает с использованием частичных HTTP-запросов. Атака функционирует, открывая соединения с целевым веб-сервером и затем удерживая эти соединения открытыми, пока это возможно.

Slowloris не является категорией атак, а представляет собой специальный инструмент атаки, предназначенный для того, чтобы одна машина могла вывести из строя сервер без использования большой полосы пропускания. В отличие от DDoS-атак на основе отражения, потребляющих полосу пропускания, таких как усиление NTP , этот тип атаки использует небольшую полосу пропускания и вместо этого направлен на использование ресурсов сервера с запросами, которые кажутся медленнее, чем обычно, но в остальном имитируют обычный трафик. Он попадает в категорию атак, известных как «низкие и медленные».. На целевом сервере будет доступно только определенное количество потоков для обработки одновременных подключений. Каждый серверный поток будет пытаться остаться в живых, ожидая завершения медленного запроса, чего никогда не происходит. Когда максимально возможное количество подключений сервера превышено, на каждое дополнительное подключение не будет ответа и произойдет отказ в обслуживании.

Приступ Slowloris происходит в 4 этапа:
Злоумышленник сначала открывает несколько подключений к целевому серверу, отправляя несколько частичных заголовков HTTP-запроса.
Цель открывает поток для каждого входящего запроса с намерением закрыть поток после завершения соединения. Для повышения эффективности, если соединение длится слишком долго, сервер прерывает чрезвычайно долгое соединение по таймауту, освобождая поток для следующего запроса.
Чтобы предотвратить тайм-аут соединения со стороны цели, злоумышленник периодически отправляет цели частичные заголовки запросов, чтобы запрос оставался активным. По сути говоря: «Я все еще здесь! Я просто не тороплюсь, пожалуйста, подожди меня ».
Целевой сервер никогда не может освободить какие-либо открытые частичные соединения, ожидая завершения запроса. Как только все доступные потоки будут использованы, сервер не сможет отвечать на дополнительные запросы, сделанные из обычного трафика, что приведет к отказу в обслуживании.
Ключом к Slowloris является его способность вызывать множество проблем при очень небольшом потреблении полосы пропускания.

Как смягчить атаку Slowloris?
Для веб-серверов, уязвимых для Slowloris, есть способы смягчить некоторые последствия. Варианты смягчения последствий для уязвимых серверов можно разделить на 3 основные категории:

Повышение доступности сервера — увеличение максимального количества клиентов, которое сервер будет разрешать одновременно, увеличит количество подключений, которые злоумышленник должен установить, прежде чем он сможет перегрузить сервер. Реально злоумышленник может масштабировать количество атак, чтобы преодолеть пропускную способность сервера, независимо от увеличения.
Ограничение скорости входящих запросов — ограничение доступа на основе определенных факторов использования поможет смягчить атаку Slowloris. Такие методы, как ограничение максимального количества подключений, разрешенных для одного IP-адреса , ограничение медленной скорости передачи и ограничение максимального времени, в течение которого клиенту разрешено оставаться на связи, — все это подходы к ограничению эффективности низких и медленных атак.
Облачная защита — используйте службу, которая может работать как обратный прокси-сервер , защищая исходный сервер.

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *