„Slowloris“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[ungesichtete Version][gesichtete Version]
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
Keine Bearbeitungszusammenfassung
InternetArchiveBot hat 4 Archivlink(s) ergänzt und 0 Link(s) als defekt/tot markiert. #IABot (v2.0beta14)
(39 dazwischenliegende Versionen von 29 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{Infobox Software
{{Infobox Software
|Screenshot=
|Screenshot=
|Beschreibung= Software für Denial of Service Angriffe auf Webserver
|Beschreibung= Software für ''Denial-of-Service''-Angriffe auf Webserver
|Hersteller= RSnake
|Hersteller= Robert "RSnake" Hansen
|AktuelleVersion= 0.7
|AktuelleVersion= 0.7
|AktuelleVersionFreigabeDatum= [[17. Juni]] [[2009]]
|AktuelleVersionFreigabeDatum= 17. Juni 2009
|Betriebssystem=
|Betriebssystem=
|Programmiersprache= Perl
|Programmiersprache= [[Perl (Programmiersprache)|Perl]]
|Kategorie=
|Kategorie=
|Lizenz=
|Lizenz=
|Sprache=
|Sprache=
|Website= http://ha.ckers.org/slowloris/
|Website= [http://ha.ckers.org/slowloris/ ha.ckers.org/slowloris/]
}}
}}


'''Slowloris''' ist eine [[Software]] mit der ein einzelner Rechner unter minimaler Verwendung von Netzwerkresourcen einen Webserver
'''Slowloris''' ist eine [[Software]], mit der ein einzelner Rechner unter minimaler Verwendung von Netzwerkressourcen einen [[Webserver]] lahmlegen kann. Slowloris greift speziell den Webserver an, gegen andere Dienste wirkt es nicht. Autor der Software ist Robert „RSnake“ Hansen.<ref name="ha.ckers.org">{{Webarchiv|url=http://ha.ckers.org/slowloris/ |wayback=20120108183614 |text=Archivierte Kopie |archiv-bot=2019-05-14 09:43:54 InternetArchiveBot }}</ref>
lahmlegen kann. Slowloris greift speziell den Webserver an, gegen andere Dienste wirkt es nicht. Autor der Software ist Robert "RSnake".<ref name="ha.ckers.org">http://ha.ckers.org/slowloris/</ref>


Slowloris versucht möglichst viele Verbindungen zum Zielserver aufzubauen und diese so lange wie möglich offen zu halten.
Slowloris versucht, möglichst viele Verbindungen zum Zielserver aufzubauen und diese so lange wie möglich offen zu halten.
Dieser Effekt wird durch paralleles Öffnen von Verbindungen und Senden von Teilanfragen erreicht.
Dieser Effekt wird durch paralleles Öffnen von Verbindungen und Senden von Teilanfragen erreicht.
Von Zeit zu Zeit werden die Teilanfragen durch weitere [[HTTP]] Header ergänzt, die Anfragen werden aber nie vollständig abgeschlossen.
Von Zeit zu Zeit werden die Teilanfragen durch weitere [[Hypertext Transfer Protocol|HTTP]]-Header ergänzt, die Anfragen werden aber nie vollständig abgeschlossen.
Dadurch steigt die Anzahl offener Verbindungen rasch an. Da die Anzahl offener Verbindungen, die ein Web Server gleichzeitig halten kann, begrenzt ist werden legitime Anfragen von Webbrowsern abgelehnt - der Server ist lahmgelegt.<ref name="ha.ckers.org"/>
Dadurch steigt die Anzahl offener Verbindungen rasch an. Da die Anzahl offener Verbindungen, die ein Webserver gleichzeitig halten kann, begrenzt ist, werden legitime Anfragen von Webbrowsern abgelehnt der Server ist lahmgelegt.<ref name="ha.ckers.org"/>


== Betroffene Webserver ==
Viele Webserver sind für diese Art des Angriffs anfällig, darunter Apache 1.x, Apache 2.x, dhttpd und der ''GoAhead WebServer''.<ref name="ha.ckers.org"/>


== Gegenmaßnahmen ==
==Betroffene Webserver==
Es gibt derzeit kein wirksames Mittel gegen einen Slowloris-Angriff, aber es gibt Möglichkeiten, dessen Auswirkungen zu verringern.
Viele Webserver sind für diese Art des Angriffs anfällig, darunter Apache 1.x, Apache 2.x, dhttpd und der GoAhead WebServer.<ref name="ha.ckers.org"/>

==Gegenmaßnahmen==
Es gibt derzeit kein wirksames Mittel gegen einen Slowloris Angriff, aber es gibt Möglichkeiten dessen Auswirkungen zu verringern.
Diese umfassen:
Diese umfassen:
* maximale Anzahl gleichzeitiger Verbindungen des Webserver erhöhen
* die maximale Anzahl gleichzeitiger Verbindungen des Webserver erhöhen
* die maximale Anzahl von Verbindungen von einer IP-Adresse beschränken
* die maximale Anzahl von Verbindungen von einer IP-Adresse beschränken
* die Zeitspanne die ein Client verbunden bleiben darf verringern
* die Zeitspanne, die ein Client verbunden bleiben darf, verringern


Speziell für den Apache-Webserver gibt es eine Reihe von Modulen, die den Schaden durch Slowloris verringern können, so zum Beispiel mod_limitipconn, [[mod_qos]], mod_evasive, mod_security, mod_noloris, und mod_antiloris.<ref name="ha.ckers.org"/><ref>http://serverfault.com/questions/32361</ref><ref>http://bahumbug.wordpress.com/2009/07/01/mod_noloris-defending-against-dos/</ref> Ab Version 2.2.15 enthält Apache das Modul mod_reqtimeout, welches von den Entwicklern als offizielle Lösung vorgeschlagen wird.<ref>https://httpd.apache.org/docs/2.4/mod/mod_reqtimeout.html</ref>
Speziell für den Apache Webserver gibt es eine Reihe von Modulen die den Schaden durch Slowloris verringern können.
Folgende Module wurden vorgeschlagen mod_limitpconn, mod_qos, mod_evasive, mod_security, mod_noloris, and mod_antiloris.<ref name="ha.ckers.org"/><ref>http://serverfault.com/questions/32361</ref><ref>http://bahumbug.wordpress.com/2009/07/01/mod_noloris-defending-against-dos/</ref>.


Weitere Gegenmaßnahmen sind [[Reverse proxy|Reverse Proxys]], [Firewall]]s, [[Load_Balancer|Load Balancer]], [[Layer-3-Switch]]es<ref>http://www.cupfighter.net/index.php/2009/06/slowloris-css/</ref> und die Verwendung eines Webservers der immun gegen diese Art des Angriffs ist.
Weitere Gegenmaßnahmen sind [[Reverse Proxy|Reverse-Proxys]], [[Firewall]]s, ''[[Lastverteilung (Informatik)|Load Balancer]],'' [[Layer-3-Switch]]es<ref>http://www.cupfighter.net/index.php/2009/06/slowloris-css/</ref> und die Verwendung eines Webservers, der immun gegen diese Art des Angriffs ist.


==Verwendung==
== Verwendung ==
Während der [[Iranische_Präsidentschaftswahlen_2009|Präsidentschaftswahlen 2009]] im Iran , wurde Slowloris gegen die Webserver der Iranischen Regierung eingesetzt.<ref>http://isc.sans.org/diary.html?storyid=6622</ref>
Während der [[Präsidentschaftswahl im Iran 2009|Präsidentschaftswahlen 2009]] im Iran wurde Slowloris gegen die Webserver der iranischen Regierung eingesetzt.<ref>http://isc.sans.org/diary.html?storyid=6622</ref>


Slowloris wurde gegenüber einem traditionellem Denial of Service Angriff bevorzugt, weil ein traditioneller Angriff
Slowloris wurde gegenüber einem traditionellen ''[[Denial of Service|Denial-of-Service]]''-Angriff bevorzugt, weil ein traditioneller Angriff sehr viele Netzwerkressourcen verbraucht und damit auch der Protestbewegung geschadet hätte.<ref>{{Webarchiv|url=http://iran.whyweprotest.net/general-discussion/2156-list-anti-protester-sites-2.html |wayback=20090629152805 |text=Archivierte Kopie |archiv-bot=2019-05-14 09:43:54 InternetArchiveBot }}</ref>
sehr viele Netzwerkresourcen verbraucht hätte und damit auch der Protestbewegung geschadet hätte.
<ref>http://iran.whyweprotest.net/general-discussion/2156-list-anti-protester-sites-2.html</ref>


Die Folgenden Regierungsseiten waren von den Angriffen betroffen gerdab.ir, leader.ir, und president.ir.<ref>http://iran.whyweprotest.net/help-iran-online/6194-condensed-list-sites-w-pictures-part-1-a.html</ref>
Von den Angriffen waren gerdab.ir, leader.ir und president.ir betroffen.<ref>{{Webarchiv|url=http://iran.whyweprotest.net/help-iran-online/6194-condensed-list-sites-w-pictures-part-1-a.html |wayback=20090811013813 |text=Archivierte Kopie |archiv-bot=2019-05-14 09:43:54 InternetArchiveBot }}</ref>


==Ähnliche Programme==
== Ähnliche Programme ==
Seit der Veröffentlichung von Slowloris sind einige weitere Programme erschienen, die die Funktion von Slowloris nachahmen und weitere Funktionen bieten oder in anderen Umgebungen laufen:<ref>http://samsclass.info/seminars/slowloris.pdf</ref>
Seit der Veröffentlichung von Slowloris sind einige weitere Programme erschienen, die die Funktion von Slowloris nachahmen und weitere Funktionen bieten oder in anderen Umgebungen laufen:<ref>http://samsclass.info/seminars/slowloris.pdf</ref>
* PyLoris - eine Python Implementierung die [[Tor_(Netzwerk)|TOR]] und [[SOCKS]] Proxies unterstüzt.<ref>http://motomastyle.com/pyloris/</ref>
* PyLoris eine Pythonimplementierung, die [[Tor (Netzwerk)|Tor]]- und [[SOCKS]]-Proxys unterstützt.<ref>{{Webarchiv|url=http://motomastyle.com/pyloris/ |wayback=20090715100428 |text=Archivierte Kopie |archiv-bot=2019-05-14 09:43:54 InternetArchiveBot }}</ref>
* QSlowloris - Ein Binärprogramm das unter Windows läuft, und eine [[Qt]] Oberfläche hat.<ref>http://cyberwar4iran.blogspot.com/</ref>
* QSlowloris ein Binärprogramm, das unter Windows läuft und eine [[Qt (Bibliothek)|Qt]]-Oberfläche hat.<ref>http://cyberwar4iran.blogspot.com/</ref>
* Eine (unbenannte) PHP Version die ironischerweise im [[Apache HTTP Server]] läuft.<ref>http://seclists.org/fulldisclosure/2009/Jun/0207.html</ref>
* Eine (unbenannte) PHP-Version, die ironischerweise im [[Apache HTTP Server|Apache-HTTP-Server]] läuft.<ref>http://seclists.org/fulldisclosure/2009/Jun/0207.html</ref>
* [https://github.com/tong/slowloris Slowloris.hx] – eine Implementation in der Programmiersprache [[Haxe (Programmiersprache)|Haxe]]

==See also==
* [[Trinoo]]
* [[Stacheldraht (Software)]]
* [[Denial of Service]]


== Einzelnachweise ==
== Einzelnachweise ==
Zeile 64: Zeile 55:
* [http://hackaday.com/2009/06/17/slowloris-http-denial-of-service/ hackaday on Slowloris]
* [http://hackaday.com/2009/06/17/slowloris-http-denial-of-service/ hackaday on Slowloris]
* [http://lwn.net/Articles/338407/ Apache attacked by a "slow loris"] article on [[LWN.net]]
* [http://lwn.net/Articles/338407/ Apache attacked by a "slow loris"] article on [[LWN.net]]
* [http://www.radware.com/Multimedia/Security_Zone/slowloris.html?WT.ad=SlowlorisCaseStudy Slowloris] - kurzes Video mit Demo
* [http://www.radware.com/Multimedia/Security_Zone/slowloris.html?WT.ad=SlowlorisCaseStudy Slowloris] kurzes Video mit Demo

[[Kategorie:Schadprogramm]]
[[Kategorie:Hackerwerkzeug (Computersicherheit)]]

Version vom 14. Mai 2019, 11:43 Uhr

Slowloris

Basisdaten

Entwickler Robert "RSnake" Hansen
Erscheinungsjahr 2009
Aktuelle Version 0.7
(17. Juni 2009)
Programmier­sprache Perl
ha.ckers.org/slowloris/

Slowloris ist eine Software, mit der ein einzelner Rechner unter minimaler Verwendung von Netzwerkressourcen einen Webserver lahmlegen kann. Slowloris greift speziell den Webserver an, gegen andere Dienste wirkt es nicht. Autor der Software ist Robert „RSnake“ Hansen.[1]

Slowloris versucht, möglichst viele Verbindungen zum Zielserver aufzubauen und diese so lange wie möglich offen zu halten. Dieser Effekt wird durch paralleles Öffnen von Verbindungen und Senden von Teilanfragen erreicht. Von Zeit zu Zeit werden die Teilanfragen durch weitere HTTP-Header ergänzt, die Anfragen werden aber nie vollständig abgeschlossen. Dadurch steigt die Anzahl offener Verbindungen rasch an. Da die Anzahl offener Verbindungen, die ein Webserver gleichzeitig halten kann, begrenzt ist, werden legitime Anfragen von Webbrowsern abgelehnt – der Server ist lahmgelegt.[1]

Betroffene Webserver

Viele Webserver sind für diese Art des Angriffs anfällig, darunter Apache 1.x, Apache 2.x, dhttpd und der GoAhead WebServer.[1]

Gegenmaßnahmen

Es gibt derzeit kein wirksames Mittel gegen einen Slowloris-Angriff, aber es gibt Möglichkeiten, dessen Auswirkungen zu verringern. Diese umfassen:

  • die maximale Anzahl gleichzeitiger Verbindungen des Webserver erhöhen
  • die maximale Anzahl von Verbindungen von einer IP-Adresse beschränken
  • die Zeitspanne, die ein Client verbunden bleiben darf, verringern

Speziell für den Apache-Webserver gibt es eine Reihe von Modulen, die den Schaden durch Slowloris verringern können, so zum Beispiel mod_limitipconn, mod_qos, mod_evasive, mod_security, mod_noloris, und mod_antiloris.[1][2][3] Ab Version 2.2.15 enthält Apache das Modul mod_reqtimeout, welches von den Entwicklern als offizielle Lösung vorgeschlagen wird.[4]

Weitere Gegenmaßnahmen sind Reverse-Proxys, Firewalls, Load Balancer, Layer-3-Switches[5] und die Verwendung eines Webservers, der immun gegen diese Art des Angriffs ist.

Verwendung

Während der Präsidentschaftswahlen 2009 im Iran wurde Slowloris gegen die Webserver der iranischen Regierung eingesetzt.[6]

Slowloris wurde gegenüber einem traditionellen Denial-of-Service-Angriff bevorzugt, weil ein traditioneller Angriff sehr viele Netzwerkressourcen verbraucht und damit auch der Protestbewegung geschadet hätte.[7]

Von den Angriffen waren gerdab.ir, leader.ir und president.ir betroffen.[8]

Ähnliche Programme

Seit der Veröffentlichung von Slowloris sind einige weitere Programme erschienen, die die Funktion von Slowloris nachahmen und weitere Funktionen bieten oder in anderen Umgebungen laufen:[9]

  • PyLoris – eine Pythonimplementierung, die Tor- und SOCKS-Proxys unterstützt.[10]
  • QSlowloris – ein Binärprogramm, das unter Windows läuft und eine Qt-Oberfläche hat.[11]
  • Eine (unbenannte) PHP-Version, die ironischerweise im Apache-HTTP-Server läuft.[12]
  • Slowloris.hx – eine Implementation in der Programmiersprache Haxe

Einzelnachweise

  1. abcd Archivierte Kopie (Memento des Originals vom 8. Januar 2012 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/ha.ckers.org
  2. http://serverfault.com/questions/32361
  3. http://bahumbug.wordpress.com/2009/07/01/mod_noloris-defending-against-dos/
  4. https://httpd.apache.org/docs/2.4/mod/mod_reqtimeout.html
  5. http://www.cupfighter.net/index.php/2009/06/slowloris-css/
  6. http://isc.sans.org/diary.html?storyid=6622
  7. Archivierte Kopie (Memento des Originals vom 29. Juni 2009 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/iran.whyweprotest.net
  8. Archivierte Kopie (Memento des Originals vom 11. August 2009 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/iran.whyweprotest.net
  9. http://samsclass.info/seminars/slowloris.pdf
  10. Archivierte Kopie (Memento des Originals vom 15. Juli 2009 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/motomastyle.com
  11. http://cyberwar4iran.blogspot.com/
  12. http://seclists.org/fulldisclosure/2009/Jun/0207.html

Weblinks

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Slowloris&oldid=188560328