Slowloris
| Slowloris
| |
|---|---|
| [[Datei:Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value)|150px]] | |
| Basisdaten
| |
| Maintainer | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Entwickler | Robert "RSnake" Hansen |
| Erscheinungsjahr | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Aktuelle Version | 0.7 (17. Juni 2009) |
| Aktuelle Vorabversion | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) (Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value)) |
| Betriebssystem | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| Programmiersprache | Perl |
| Lizenz | Lua-Fehler in Modul:Wikidata, Zeile 1686: attempt to index field 'wikibase' (a nil value) |
| ha.ckers.org/slowloris/ | |
Slowloris ist eine Software, mit der ein einzelner Rechner unter minimaler Verwendung von Netzwerkressourcen einen Webserver lahmlegen kann. Slowloris greift speziell den Webserver an, gegen andere Dienste wirkt es nicht. Autor der Software ist Robert „RSnake“ Hansen.<ref name="ha.ckers.org"><templatestyles src="Webarchiv/styles.css" />Archivierte Kopie ( des Vorlage:IconExternal vom 8. Januar 2012 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref>
Slowloris versucht, möglichst viele Verbindungen zum Zielserver aufzubauen und diese so lange wie möglich offen zu halten. Dieser Effekt wird durch paralleles Öffnen von Verbindungen und Senden von Teilanfragen erreicht. Von Zeit zu Zeit werden die Teilanfragen durch weitere HTTP-Header ergänzt, die Anfragen werden aber nie vollständig abgeschlossen. Dadurch steigt die Anzahl offener Verbindungen rasch an. Da die Anzahl offener Verbindungen, die ein Webserver gleichzeitig halten kann, begrenzt ist, werden legitime Anfragen von Webbrowsern abgelehnt – der Server ist lahmgelegt.<ref name="ha.ckers.org" />
Betroffene Webserver
Viele Webserver sind für diese Art des Angriffs anfällig, darunter Apache 1.x, Apache 2.x, dhttpd und der GoAhead WebServer.<ref name="ha.ckers.org" />
Gegenmaßnahmen
Es gibt derzeit kein wirksames Mittel gegen einen Slowloris-Angriff, aber es gibt Möglichkeiten, dessen Auswirkungen zu verringern. Diese umfassen:
- die maximale Anzahl gleichzeitiger Verbindungen des Webserver erhöhen
- die maximale Anzahl von Verbindungen von einer IP-Adresse beschränken
- die Zeitspanne, die ein Client verbunden bleiben darf, verringern
Speziell für den Apache-Webserver gibt es eine Reihe von Modulen, die den Schaden durch Slowloris verringern können, so zum Beispiel mod_limitipconn, mod qos, mod_evasive, mod_security, mod_noloris, und mod_antiloris.<ref name="ha.ckers.org" /><ref>serverfault.com</ref><ref>bahumbug.wordpress.com</ref> Ab Version 2.2.15 enthält Apache das Modul mod_reqtimeout, welches von den Entwicklern als offizielle Lösung vorgeschlagen wird.<ref>httpd.apache.org</ref>
Weitere Gegenmaßnahmen sind Reverse-Proxys, Firewalls, Load Balancer, Layer-3-Switches<ref><templatestyles src="Webarchiv/styles.css" />Archivierte Kopie ( des Vorlage:IconExternal vom 15. Februar 2012 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref> und die Verwendung eines Webservers, der immun gegen diese Art des Angriffs ist.
Verwendung
Während der Präsidentschaftswahlen 2009 im Iran wurde Slowloris gegen die Webserver der iranischen Regierung eingesetzt.<ref>isc.sans.org</ref>
Slowloris wurde gegenüber einem traditionellen Denial-of-Service-Angriff bevorzugt, weil ein traditioneller Angriff sehr viele Netzwerkressourcen verbraucht und damit auch der Protestbewegung geschadet hätte.<ref><templatestyles src="Webarchiv/styles.css" />Archivierte Kopie ( des Vorlage:IconExternal vom 29. Juni 2009 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref>
Von den Angriffen waren gerdab.ir, leader.ir und president.ir betroffen.<ref><templatestyles src="Webarchiv/styles.css" />Archivierte Kopie ( des Vorlage:IconExternal vom 11. August 2009 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref>
Ähnliche Programme
Seit der Veröffentlichung von Slowloris sind einige weitere Programme erschienen, die die Funktion von Slowloris nachahmen und weitere Funktionen bieten oder in anderen Umgebungen laufen:<ref>samsclass.info</ref>
- PyLoris – eine Pythonimplementierung, die Tor- und SOCKS-Proxys unterstützt.<ref><templatestyles src="Webarchiv/styles.css" />Archivierte Kopie ( des Vorlage:IconExternal vom 15. Juli 2009 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.</ref>
- QSlowloris – ein Binärprogramm, das unter Windows läuft und eine Qt-Oberfläche hat.<ref>cyberwar4iran.blogspot.com</ref>
- Eine (unbenannte) PHP-Version, die ironischerweise im Apache-HTTP-Server läuft.<ref>seclists.org</ref>
- Slowloris.hx – eine Implementation in der Programmiersprache Haxe
Einzelnachweise
<references />
Weblinks
- Slowloris HTTP DoS
- hackaday on Slowloris
- Apache attacked by a "slow loris" article on LWN.net
- Slowloris – kurzes Video mit Demo