¿Slowloris ataque?

Question

¿Slowloris ataque?

#1 de Thomas Pornin (8 votos)
#2 de that guy from over there (0 votos)

8

¿Podría alguien analizar esta información? Tenemos información de que se produjo el ataque de Slowloris. Dicen (hospedando cosas) que han implementado mod_antiloris, ¿es suficiente por cierto? Siéntase libre de compartir su opinión sobre esto y decir si todas las instancias son normales. Gracias.

Linux 2.6.37.6-24-desktop ( our-website-name ) 08/05/13 _x86_64_ (8 CPU)

Dispositivo: rrqm / s wrqm / s r / s w / s rsec / s wsec / s avgrq-sz avgqu-sz await svctm% util sda 2.60 123.85 2.74 33.30 99.91 1257.43 37.66 1.69 46.77 1.88 6.78

Dispositivo: rrqm / s wrqm / s r / s w / s rsec / s wsec / s avgrq-sz avgqu-sz await svctm% util sda 0.00 47.60 0.80 19.00 8.00 532.80 27.31 0.13 6.74 2.88 5.70

Dispositivo: rrqm / s wrqm / s r / s w / s rsec / s wsec / s avgrq-sz avgqu-sz await svctm% util sda 0.00 68.20 1.20 113.40 9.60 1452.80 12.76 2.49 21.73 0.61 7.02

[Lun Aug 05 04:47:30 2013] [warn] Rechazado, demasiadas conexiones en el estado LEER desde 189.46.162.217 [Mon Aug 05 04:47:30 2013] [warn] Rechazado, demasiadas conexiones en el estado READ desde 111.95.142.240

web-application attacks denial-of-service

pregunta user2633999 05.08.2013 - 14:36

fuente

2 respuestas

Lea otras preguntas en las etiquetas web-application attacks denial-of-service

¿Cómo hace nmap un escaneo de zombies y señuelos? ¿Cómo saber si dos direcciones IP apuntan al mismo servidor web?

score 8 · Answer 1

Slowloris es una especie de Ataque de denegación de servicio en el que el atacante intenta agotar los recursos de su servidor abriendo muchas conexiones con él, pero siendo extremadamente lento. Cada conexión abierta consume algunos recursos en su servidor: solo un poco de RAM para los búferes de conexión y el estado del socket, pero de todos modos eso es recursos.

mod_antiloris es un filtro heurístico para tales ataques. Intenta detectar situaciones que son definitivamente malolientes; en este caso, cuando un solo cliente (una dirección IP) ha abierto muchas conexiones a su servidor y aún las tiene todas en el estado de "LECTURA", lo que significa que en el protocolo HTTP, se supone que todos estos clientes deben hablar a continuación, pero no lo hagas, o hazlo muy lentamente.

Al igual que con todas las herramientas heurísticas, hay una compensación: si el umbral del filtro es demasiado alto, entonces un atacante puede mantener un ataque de escala media mientras se mantiene bajo el radar. Pero si el umbral es demasiado bajo, entonces comenzará a rechazar a los usuarios legítimos. El principal problema con mod_antiloris es que funciona con direcciones IP , por lo que puede estar en desacuerdo con NAT : si se conectan muchos usuarios humanos distintos en una sola red que realiza NAT (por ejemplo, 50 estudiantes de la misma clase, en una red de la Universidad), todas sus conexiones aparecerán, desde su servidor, desde el servidor. misma dirección IP, y esto puede desencadenar mod_antiloris a pesar de que todos estos clientes serían legítimos. Por el contrario, si el atacante está lo suficientemente motivado para ir distribuido (lanzar el ataque desde una red de bots, es decir, muchos hosts distintos bajo su control), mod_antiloris no ayudará, porque esto parecerá un montón de distintos, legítimos clientes.

En cualquier caso, le sugiero que deje este problema a las personas que manejan su alojamiento: esto se aborda mejor a su nivel. Es posible que desee investigar quién podría tener un rencor contra usted, pero es posible que el ataque no sea malicioso después de todo: un software de cliente con scripts con errores puede tener el mismo efecto (aunque probablemente no parezca que viene de dos direcciones IP distintas, una en Brasil y otra en Indonesia).

score 0 · Answer 2

primero, aks para tu versión apache; en apache > = 2.2.16 este problema es / debería solucionarse.

si desea saber si es atacable por slowloris, simplemente haga una prueba de sus servidores, pero el uso incorrecto de http para crear una aplicación "en tiempo real" también podría estar involucrado :)

"atop" puede ayudar a analizar tu problema.

por cierto, para esas cosas con muchas conexiones preferiría nginx.