Nella maggior parte, gli attacchi di tipo Denial of Service (DoS) hanno lo scopo di attaccare un web server, esaurendo le sue risorse tramite una grandissima quantità di richieste contemporanee.
Ogni web server ha una larghezza di banda limitata, quando questi server vengono "bombardati" di richieste, questa larghezza di banda esaurisce, causando un crash del server.
La particolarità dell'attacco Slow loris, è che attacca il web server in un modo completamente diverso, pur avendo lo stesso effetto di un grande attacco DoS.
Se ricordiamo come funziona il protocollo HTTP, sappiamo che quando facciamo una richiesta ad un sito, inviamo una richiesta di tipo GET al web server. Il server in risposta ci invia il codice HTML della pagina e così possiamo esplorare e navigare un sito. Per ogni pagina che il client clicca, una nuova richiesta GET viene inviate al server.
Una richiesta HTTP solitamente è composta solamente da testo contenente il tipo di richiesta (GET, POST,
) ed informazione riguardante il client, come tipo di browser, tipo di dispositivo, etc. La cosa da notare è che ogni richiesta HTTP termina con due caratteri di newline, ovvero "\n\n" . Questa sequenza di caratteri indica a fine della richiesta HTTP.
L'inventore dellattacco Slow loris Robert Hansen, ha pensato di inviare la richiesta con una velocità molto rallentata, inviando una lettera alla volta in un arco di tempo molto lungo, in questo modo la connessione può rimanere aperta, dato che il server sta ancora aspettando la sequenza di caratteri \n\n. Questo comporta ad un continuo utilizzo del server, bloccando a tutti gli effetti qualsiasi cliente che provi a collegarsi al server attaccato.
L'attacco Slow loris prende il suo nome da appunto l'animale Slow loris simile al bradipo che si muove in maniera molto lenta.
I server di oggi hanno una sorta di timeout per i client che perdono connessione al server durante una richiesta HTTP. Ma l'attacco Slow loris funziona perché non fa scadere il timeout, ma ogni 10 / 20 / 30 secondi (appena prima del timeout) invia un'altro carattere della richiesta GET, mantenendo la connessione aperta.
Questo attacco non ha effetto su ogni web server, ma in particolare ha effetto sui server
Apache che consiste più o meno del 49% dei server mondiali. Il motivo per cui questo attacco funziona particolarmente bene con i server
Apache, è perché i server Apache creano un nuovo Thread per ogni nuova connessione.
Solitamente le richieste HTTP avvengono in modo veloce, quindi i Thread sono creati e distrutti in tempi brevi. Il problema si pone quando le connessioni non si chiudono, causando una congestione dei Threads. Infatti l'attacco Slow loris apre molteplici connessioni e le mantiene aperte il più lungo possibile, aprendo una nuova connessione appena si libera uno slot nel server, occupando cosi tutte le connessioni possibili al server.
Ecco come funziona quindi l'attacco Denial of Service Slow Loris, l'attacco DoS più strano che ci sia. Grazie per aver seguito questa guida, e spero vi sia piaciuta. Ricordate di non usare le vostre conoscenze per causare danni e mettervi nei guai.
E voi avete avuto mai esperienze con degli attacchi di tipo DoS? fatemi sapere nella zona commenti.
