Mit "Slowloris" können Denial-of-Service-Angriffe gegen Webserver gefahren werden

Security-Alert: Angriff erfolgt durch Einleitung von HTTP-Requests, die nicht abgeschlossen werden

(13.07.09) - Am 17. Juni wurde das Tool "Slowloris" veröffentlicht, mit dem Denial-of-Service-Angriffe gegen Webserver gefahren werden können. Das DARC (DenyAll Research Center) hat eine technische Analyse des Tools und der Angriffsmethode durchgeführt.

Beschreibung des Angriffs

Slowloris ist ein Perl-Skript, das auf jeder *nix-Plattform ausgeführt werden kann.

Der Angriff erfolgt durch Einleitung von HTTP-Requests, die nicht abgeschlossen werden. Die permanente Übertragung von HTTP-Headern hat zur Folge, dass die Verbindungen offen bleiben. Die nachstehende Abbildung zeigt den Ablauf eines solchen Requests, wobei der "X-a: b"-Header deutlich zu erkennen ist, den das Tool verwendet.

Der Apache-Webserver reicht Anfragen erst dann an die bearbeitenden Module weiter, wenn sie vollständig sind. Er ist also anfällig für diesen Angriff, da er aktive Verbindungen, die von dem Tool hergestellt wurden, nicht freigibt. Aus demselben Grund können auch keine Apache-Sicherheits-module eingesetzt werden.

Sobald der Angriff gestartet wurde, hält der Zielserver die hergestellten Verbindungen im Status "ESTABLISHED" geöffnet.

Bereits nach kurzer Zeit ist der Server nicht mehr erreichbar. Dieser Zustand bleibt für die Dauer des Angriffs bestehen.

Gegenmaßnahmen

Am Samstag, 20. Juni, stellte das DARC für DenyAll-Kunden einen Workaround bereit. Dieser Workaround, der auf Paketfilterung und Mechanismen zur Verbindungsbegrenzung basiert, ermöglichte es, Websites vor dem Angriff zu schützen.

Am 26. Juni wurde für sämtliche Produkte von DenyAll ein Patch verfügbar gemacht. Nach einer einwöchigen Testphase wurde dieser Patch heute veröffentlicht.

Somit können nun alle Kunden von DenyAll vor diesem Angriff geschützt werden, ebenso wie vor jeglichen Varianten, die auf der gleichen Technik beruhen.

Dies ist der erste Patch für Apache-basierte Produkte, der gegen diesen Angriff veröffentlicht wurde.

Fazit

Bislang ist keine offizielle, Apache-native Lösung für dieses Problem verfügbar, da dazu umfang-reiche Änderungen in der internen Struktur des Webservers erforderlich sind.

Dank der von seinem Research Center durchgeführten Analyse ist DenyAll der einzige Hersteller, der eine Lösung zur Abwehr solcher Angriffe für alle seine produktiven Plattformen veröffentlicht hat. (DenyAll: ra)