O Slowlorisé uma ferramenta de HTTP DoS desenvolvida pelo Rsnake. Seu funcionamento é bastante interessante porque ele cria sockets e envia requisições HTTPs válidas para a vitima continuamente em intervalos regulares, dessa forma ele tenta enganar o webserver evitando que estas conexões sejam fechadas.
Os webservers baseados em thread estão mais vulneráveis a este tipo de ataque por limitar a quantidades de threads por conexão. O Slowloris aguarda a conexão bem sucedida de todos os sockets para iniciar o ataque então se o alvo for um site muito acessado isso pode demorar um pouco.
Está técnica permite indisponibilizar o alvo aos poucos dificultando a detecção do ataque, se um usuário reiniciar uma conexão em curto espaço de tempo o acesso ao site alvo será estabelecido sem problemas. A ferramenta concorre com os acesso válidos nomalmente ganhando esta concorrência.
Seguem algumas soluções de proteção contra este tipo de ataque:
Ossec O active-responses do Ossec bloqueia a origem do ataque de forma automática sem a necessidade de configurações extras.
mod_qos A utilização deste módulo é a solução dada por muitos sites.
ModSecurity A diretiva SecReadStateLimit é usada para limitar o número de threads concorrentes por IP.
Ossec HIDS Usando o http-wp-plugins do Nmap para detectar plugins do Wordpress Usando o Nessus plugin com o MySQL e o db_autopwn no Metasploit Infraestrutura para aplicações web seguras Brincando com o plugin do Nessus para o Metasploit Password Audit Wordlists Download mensal e Anual dos exploits do PacketStorm Snoopy e Auditd - fazendo auditoria no Linux Segurança nos terminais Os quatro melhores engenheiros sociais de todos os tempos
Versão para impressora
Indicar para um amigo
Enviar artigo