Slowloris — это тип атаки на отказ в обслуживании (DDoS), который позволяет одному компьютеру вывести из строя веб-сервер без использования большого объема трафика. В отличие от традиционных DDoS-атак, которые заваливают сервер запросами, Slowloris атакует медленно и тихо, используя минимальные ресурсы.
1. Как работает атака Slowloris?
🔹 Принцип работы
Атака Slowloris эксплуатирует ограничение на количество одновременных соединений, которые может обрабатывать веб-сервер (например, Apache, Nginx). Злоумышленник создает множество медленных HTTP-соединений и поддерживает их открытыми как можно дольше, исчерпывая все доступные слоты для подключений. В результате сервер перестает отвечать на запросы легитимных пользователей.
🔹 Этапы атаки
1. Установление соединений:
Атакующий отправляет на сервер множество HTTP-запросов (обычно GET или POST), но не завершает их.
2. Поддержание соединений:
Периодически отправляются заголовки (например, X-a: b) с большими интервалами, чтобы соединение не разрывалось по таймауту.
3. Исчерпание ресурсов:
Сервер исчерпывает лимит одновременных соединений и перестает принимать новых клиентов.
2. Почему Slowloris эффективен?
· Минимальные ресурсы: атаку можно запустить с одного компьютера.
· Скрытность: трафик выглядит как легитимные HTTP-запросы.
· Целевой подход: воздействует на конкретные уязвимости серверов.
3. Какие серверы уязвимы?
· Apache 1.x и 2.x: наиболее подвержены атаке из-за архитектуры (один поток на соединение).
· Другие веб-серверы: Nginx, IIS менее уязвимы, но могут быть атакованы при неправильной настройке.
4. Как защититься от Slowloris?
🔹 Для администраторов серверов
1. Использование современных веб-серверов:
Nginx и IIS имеют встроенные механизмы защиты (например, лимиты на время соединения).
2. Настройка таймаутов:
Уменьшите Timeout и KeepAliveTimeout в Apache.
3. Ограничение числа соединений:
Установите модуль mod_evasive или mod_security для Apache.
4. Балансировка нагрузки:
Используйте обратные прокси (HAProxy) или CDN (Cloudflare, Akamai).
5. Мониторинг и анализ трафика:
Внедрите SIEM-системы для обнаружения аномалий.
🔹 Для разработчиков
Избегайте самописных веб-серверов без защиты от медленных соединений.
🔹 Общие рекомендации
· Обновляйте ПО серверов.
· Используйте файрволы и системы предотвращения DDoS.
5. Инструменты для запуска и защиты
Для тестирования:
Slowloris (оригинальный скрипт на Perl), SlowHTTPTest, OWASP HTTP DoS Tool.
Для защиты:
Cloudflare, Imperva, ModSecurity.
7. Важно знать
· Slowloris — это не универсальная атака. Современные серверы и облачные провайдеры часто имеют защиту по умолчанию.
· Атака запрещена в большинстве стран. Используйте знания только для тестирования своих систем с разрешения.
Заключение
Slowloris остается классическим примером атаки на уровне приложений. Защита от него требует комплексного подхода: настройки серверов, использования прокси и мониторинга. Регулярное тестирование на проникновение и обновление систем — лучшая профилактика.
Если вы администратор — проверьте свои серверы на уязвимость к Slowloris до того, как это сделают злоумышленники.