Este es el ataque loris lento de solicitudes HTTP GET incompletas.
Cómo proteger su servidor: actualice su servidor Apache, hay muchas actualizaciones para este ataque, este ataque se descubrió en el 2011. Como otra opción, se reduce el tiempo de espera en su servidor Apache, etc. Este ataque funciona en el tiempo de espera. Aquí le explica cómo proteger su Apache de DoS / DDoS (loris lentos incluidos) en Linux (proporciona actualizaciones, muestra las configuraciones que deben cambiarse).
¿Qué es el loris lento? El loris lento es una capa 7 Denegación de servidor (DoS, puede llevarse a cabo con 1 computadora) que se usa ampliamente en servidores Apache y más, porque estos servidores si no está actualizado tiene este "error".
¿Cómo funcionan los loris lentos? Los loris lentos se realizan cuando se realiza una conexión TCP y luego se envía al servidor una solicitud HTTP GET incompleta. Entonces, el servidor no agota el tiempo de espera de esta conexión durante largos períodos de tiempo tan altos como 400 segundos. El servidor (como el servidor Apache) hace esto porque la idea es que cree que estás en una red que no es de confianza, o simplemente desacelera Internet y esperará el resto de la solicitud HTTP GET.
Más información: Esto es un DoS de HTTP, no un DoS de TCP porque la solicitud es lo que está causando esto. Un lento ataque de loris puede funcionar al enviar 1 paquete por segundo por cada nueva conexión.
Ejemplos de cómo se ve esta solicitud:
GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0\r\n
o
GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0
Ejemplo de solicitud HTTP GET normal:
GET / HTTP/1.1\r\nHost: www.whatever.com\r\nUser-Agent: Mozilla 5.0\r\n\r\n