💭 Jeremys Brain

slowloris-angriff

3 min read

Slowloris

Kali Linux Tool

In Kali Linux ist Slowloris als eigenes Tool verfügbar und kann direkt über das Terminal genutzt werden. Das Tool heißt ebenfalls slowloris und ermöglicht das einfache Durchführen von DoS-Tests in einer kontrollierten Umgebung (z. B. in Laborumgebungen oder zu Lehrzwecken). Anders als viele klassische DoS-Tools, die mit einer Flut schneller und zahlreicher Anfragen arbeiten, zielt Slowloris auf langsame, aber viele offene Verbindungen ab. Diese Strategie ist besonders tückisch, da sie mit vergleichsweise geringem Netzwerkverkehr maximale Wirkung erzielt.

Die grundlegende Verwendung ist wie folgt:

slowloris <Ziel-IP oder Domain> [Optionen]

Beispiel:

slowloris example.com -p 80 -v

Wichtige Optionen:

  • -p: Gibt den Zielport an (Standard: 80).
  • -s: Anzahl der Verbindungen (Standard: 150).
  • -v: Aktiviert den verbose Modus (ausführlichere Ausgaben).
  • --https: Aktiviert HTTPS-Unterstützung, falls der Zielserver SSL nutzt.
  • -t: Timeout in Sekunden (zwischen den Header-Sendungen).

Hinweis: Der Einsatz dieses Tools ist ausschließlich zu legalen und autorisierten Testzwecken gestattet. Angriffe auf fremde Systeme ohne ausdrückliche Erlaubnis sind strafbar.

Einführung

Slowloris ist ein Denial-of-Service-Angriff (DoS), der darauf abzielt, Webserver durch das Erschöpfen verfügbarer Verbindungen lahmzulegen. Der Angriff nutzt spezifische Eigenschaften des HTTP-Protokolls aus, um Serverressourcen zu binden und legitime Anfragen zu blockieren. Im Gegensatz zu typischen DoS-Angriffen setzt Slowloris nicht auf eine große Menge an schnellen Anfragen, sondern auf viele extrem langsame, unvollständige Verbindungen, die über einen längeren Zeitraum aufrechterhalten werden.

Funktionsweise

Slowloris sendet unvollständige HTTP-Anfragen an den Zielserver. Durch das Offenhalten dieser Verbindungen und das Senden weiterer Header in langsamen Intervallen bleibt die Anfrage aktiv, ohne je abgeschlossen zu werden. Viele Webserver akzeptieren nur eine begrenzte Anzahl simultaner Verbindungen. Wenn diese durch unvollständige Anfragen blockiert sind, können neue, legitime Verbindungen nicht mehr hergestellt werden.

Technische Details

  • Verbindungsaufbau: Der Angreifer startet eine TCP-Verbindung zum Server und beginnt mit dem Senden einer HTTP-Anfrage.
  • Unvollständige Anfragen: Anstatt die Anfrage abzuschließen, wird sie absichtlich unvollständig gehalten, indem Header-Informationen in langsamen Intervallen gesendet werden.
  • Timeout-Vermeidung: Durch das kontinuierliche Senden von Headern bleibt die Verbindung aktiv und verhindert, dass der Server die Verbindung wegen Inaktivität schließt.
  • Ressourcenbindung: Jede offene Verbindung beansprucht Serverressourcen. Bei genügend offenen Verbindungen kann der Server keine weiteren Anfragen bearbeiten.

Betroffene Systeme

Nicht alle Webserver sind gleichermaßen anfällig für Slowloris-Angriffe. Vor allem Server, die pro Verbindung separate Prozesse oder Threads verwenden, sind gefährdet. Beispiele für betroffene Systeme:

  • Apache HTTP Server: Standardkonfigurationen ohne Module wie mod_qos oder mod_reqtimeout sind anfällig.
  • Weitere Server: Ähnliche Serverarchitekturen, die keinen Schutz gegen solche Angriffe implementiert haben.

Webserver, die asynchrone Verbindungen unterstützen, wie nginx oder Lighttpd, sind weniger anfällig, da sie effizienter mit großen Mengen gleichzeitig offener Verbindungen umgehen können.

Schutzmaßnahmen

  • Timeout-Einstellungen anpassen: Reduzierung der erlaubten Zeit zwischen Headern verringert die Wirksamkeit des Angriffs.
  • Begrenzung der Header-Größe: Festlegen eines Limits für die maximale Größe von Headern.
  • Maximale Verbindungen pro IP: Einschränkung der Anzahl simultaner Verbindungen von einer einzelnen IP-Adresse.
  • Einsatz von Modulen: Verwendung von Apache-Modulen wie mod_qos oder mod_reqtimeout, die speziell zum Schutz vor solchen Angriffen entwickelt wurden.
  • Reverse Proxys nutzen: Einbindung von Reverse Proxys oder Load Balancern, die weniger anfällig sind und den Traffic filtern können.
  • Netzwerkbasierte Lösungen: Implementierung von Firewalls und Intrusion Prevention Systemen (IPS), die verdächtige Muster erkennen und blockieren.

Tags

SlowlorisDoSCybersecurityNetzwerksicherheitWebserverHTTPAngriffsmethoden

Web-Attack-Overview

Graph View