Роберт "RSnake" Хансен, гуру в области безопасности, опубликовал новую
утилиту для проведения DoS-атак, обнажившую серьезную уязвимость в веб-серверах
Apache и ряде других серверов.
Хансен назвал свое творение "Slowloris - узкополосный, но жадный и ядовитый
HTTP-клиент". В отличие от традиционных DoS-атак, бомбардирующих сайты огромными
объемами трафика, Slowloris достигает того же результата используя небольшое
число пакетов.
По словам Хансена, типичному рассылателю запросов может потребоваться 1000
машин, чтобы вывести из строя один сервер, поскольку для этого надо забить всю
физическую полосу пропускания. А Slowloris почти вообще не использует трафик.
Для начала атаки потребуется отослать тысячу пакетов, а на ее поддержание нужно
лишь 200-300 пакетов в минуту. Так что осуществить нападение можно с
одного-единственного компьютера.
Вместо того, чтобы бомбардировать сайт трафиком, Slowloris занимает все
доступные соединения сервера, отсылая незавершенные http-запросы. Послав
несколько сотен запросов, которые никогда не будут закрыты, можно заставить
Apache очень долго ждать от них ответа. Веб-серверы подобные Apache ограничивают
число потоков, которые они открывают в каждый отдельный момент времени. Ну а
если они этого не делают, можно использовать истощение памяти или другие способы
нападения.
Хансен подтвердил, что уязвимость имеется на веб-серверах Apache 1.x, Apache
2.x, dhttpd, GoAhead WebServer и Squid, однако действию данной атаки не
подвержены IIS6.0, IIS7.0 и lighttpd, поскольку они могут работать с тем
количеством открытых соединений, которое позволяют ресурсы.
По словам Хансена, атака не сработает против больших веб-сайтов, имеющих
механизмы балансировки загрузки, однако в число уязвимых сайтов все равно входит
много ресурсов на Apache, за исключением разве что новостных порталов и сайтов
больших ритейлеров.