En estos días, mientras estaba trabajando en un Penetration test, uno de los equipos que eran parte del análisis presentaba una vulnerabilidad de DoS generada a partir del envío de solicitudes HTTP parciales (Partial HTTP request). Si bien en este caso particular la vulnerabilidad era de Apache, es extensible a otros servidores Web que implementen Proccess threading. Investigando un poco acerca de la vulnerabilidad y sobre como explotarla, me encontré con una herramienta interesante llamada Slowloris, la cual si bien ya tiene algo más de un año, sigue y seguirá siendo bastante efectiva.
Slowloris hace referencia a un simpático animalito de Asia que se encuentra en peligro de extinción, cuya traducción al español sería Lori Perezoso. El script está desarrollado en perl por Robert Hansen y el nombre surge del hecho de que la herramienta implementa un Slow Denial of Service attack, puntualmente al servicio HTTP (aunque también funciona sobre HTTPS).
El ataque implementado consiste en mandar solicitudes HTTP parciales, enviando cabeceras en forma continua de forma tal de mantener las conexiones abiertas sin que se puedan atender peticiones de clientes válidos. La diferencia frente a un ataque de DoS tradicional consiste en primer lugar en que este no es un ataque basado en capa de transporte, sino que se implementa en capa de aplicación (HTTP). Esto implica que las conexiones TCP se completan y el ataque solo afecta al servicio en cuestión. En segundo lugar, este tipo de ataque solo necesita de unas cientos de peticiones realizadas en intervalos regulares de tiempo, frente a los miles y miles de solicitudes requeridas en un ataque TCP Syn Flood convencional.
Adicionalmente, los ataques de Slow DoS son bastante difíciles de detectar sobretodo en etapas tempranas, ya que algunos usuarios válidos que se encuentran conectados al servidor van a poder seguir interactuando mientras silenciosamente la herramienta consume más y más sockets, hasta que finalmente el sistema completo queda a merced de las peticiones maliciosas.
En este conexto se desarrollo Slowloris, haciendo que poco a poco el servicio web sea inaccesible para los clientes válidos, pero el resto de los servicios brindados por dicho servidor permanecen 100% operativos, volviendo al ataque difícil de detectar y bastante sigiloso frente a otros tipos de Denegaciones de Servicio más ruidosas.
El script de Slowloris puede descargarse desde aquí
Mas información, requerimientos de instalación y recomendaciones pueden encontrarlos en el enlace oficial.
Adicionalmente pueden encontrarse en este White Paper algunas contramedidas contra este y otros ataques de DoS (Si bien el White Paper está basado en una herramienta comercial, conceptualmente es bastante claro).
Slowloris hace referencia a un simpático animalito de Asia que se encuentra en peligro de extinción, cuya traducción al español sería Lori Perezoso. El script está desarrollado en perl por Robert Hansen y el nombre surge del hecho de que la herramienta implementa un Slow Denial of Service attack, puntualmente al servicio HTTP (aunque también funciona sobre HTTPS).
El ataque implementado consiste en mandar solicitudes HTTP parciales, enviando cabeceras en forma continua de forma tal de mantener las conexiones abiertas sin que se puedan atender peticiones de clientes válidos. La diferencia frente a un ataque de DoS tradicional consiste en primer lugar en que este no es un ataque basado en capa de transporte, sino que se implementa en capa de aplicación (HTTP). Esto implica que las conexiones TCP se completan y el ataque solo afecta al servicio en cuestión. En segundo lugar, este tipo de ataque solo necesita de unas cientos de peticiones realizadas en intervalos regulares de tiempo, frente a los miles y miles de solicitudes requeridas en un ataque TCP Syn Flood convencional.
Adicionalmente, los ataques de Slow DoS son bastante difíciles de detectar sobretodo en etapas tempranas, ya que algunos usuarios válidos que se encuentran conectados al servidor van a poder seguir interactuando mientras silenciosamente la herramienta consume más y más sockets, hasta que finalmente el sistema completo queda a merced de las peticiones maliciosas.
En este conexto se desarrollo Slowloris, haciendo que poco a poco el servicio web sea inaccesible para los clientes válidos, pero el resto de los servicios brindados por dicho servidor permanecen 100% operativos, volviendo al ataque difícil de detectar y bastante sigiloso frente a otros tipos de Denegaciones de Servicio más ruidosas.
El script de Slowloris puede descargarse desde aquí
Mas información, requerimientos de instalación y recomendaciones pueden encontrarlos en el enlace oficial.
Adicionalmente pueden encontrarse en este White Paper algunas contramedidas contra este y otros ataques de DoS (Si bien el White Paper está basado en una herramienta comercial, conceptualmente es bastante claro).