você está aqui: Home  → Arquivo de Mensagens

Protegendo seu WebServer contra o Slowloris HTTP DoS

Colaboração: Alexandro Silva

Data de Publicação: 23 de março de 2011

O Slowloris é uma ferramenta de HTTP DoS desenvolvida pelo Rsnake. Seu funcionamento é bastante interessante porque ele cria sockets e envia requisições HTTPs válidas para a vítima continuamente em intervalos regulares, dessa forma ele tenta enganar o webserver evitando que estas conexões sejam fechadas.

Os webservers baseados em thread estão mais vulneráveis a este tipo de ataque por limitar a quantidades de threads por conexão. O Slowloris aguarda a conexão bem sucedida de todos os sockets para iniciar o ataque então se o alvo for um site muito acessado isso pode demorar um pouco.

Está técnica permite indisponibilizar o alvo aos poucos dificultando a detecção do ataque. Se um usuário reiniciar uma conexão em curto espaço de tempo o acesso ao site alvo será estabelecido sem problemas. A ferramenta concorre com os acesso válidos normalmente ganhando esta concorrência.

Seguem algumas soluções de proteção contra este tipo de ataque:

Ossec

O active-responses do Ossec bloqueia a origem do ataque de forma automática sem a necessidade de configurações extras. Saiba mais

mod_qos

A utilização deste módulo é a solução dada por muitos sites. Saiba mais.

ModSecurity

A diretiva SecReadStateLimit é usada para limitar o número de threads concorrentes por IP. Saiba mais.

Blog do autor: http://alexos.org


 

 

Veja a relação completa dos artigos de Alexandro Silva

Opinião dos Leitores

Alex
04 Abr 2011, 06:51
Existe ainda o mod_antiloris:

http://www.pc-freak.net/blog/installing-mod-antiloris-on-x86-and-x86_64-bit-centos-4-and-5-to-protect-from-the-recent-slowloris-dos-attack/

*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script