Slowloris Nedir?

  Slowloris , tek bir makinenin başka bir makinenin web sunucusunu minimum bant genişliği ve alakasız hizmetler ve bağlantı noktaları üzerinde yan etkilerle kapatmasına izin veren bir tür hizmet reddi saldırı aracıdır.

Slowloris, hedef web sunucusuna birçok bağlantıyı açık tutmaya ve onları mümkün olduğunca uzun süre açık tutmaya çalışır. Bunu, hedef web sunucusuna bağlantılar açarak ve kısmi bir istek göndererek gerçekleştirir. Periyodik olarak, isteğe ekleyen, ancak asla tamamlamayan sonraki HTTP başlıklarını gönderir. Etkilenen sunucular bu bağlantıları açık tutacak, maksimum eşzamanlı bağlantı havuzlarını dolduracak ve sonunda istemcilerden gelen ek bağlantı girişimlerini reddedecektir. 

Şu şekilde çalışır:

  1. Çok sayıda HTTP isteği yapmaya başlar.
  2. Bağlantıları açık tutmak için periyodik olarak (her ~15 saniyede bir) başlıklar gönderir.
  3. Sunucu bunu yapmadıkça bağlantıyı asla kapatmaz ve sunucu bir bağlantıyı kapatırsa, aynı şeyi yapmaya devam ederek yeni bir tane oluşturur.
  4. Bu, sunucuların iş parçacığı havuzunu tüketir ve sunucu diğer kişilere yanıt veremez.

Etkilenen Web sunucuları  

Bu, saldırının yazarına göre aşağıdakileri içerir, ancak bunlarla sınırlı değildir.

  • Apache 1.x
  • Apache 2.x
  • Dhttpd
  • GoAhead Web sunucusu

Slowloris ,çok sayıda bağlantıyı iyi idare eden sunucular üzerinde daha az etkisi vardır. Örneğin, Hiawatha, IIS , lighttpd , Cherokee ve Cisco CSS dahil olmak üzere belirli sunucular tasarımları nedeniyle saldırılara karşı daha dirençlidir .

Slowloris Kullanımı

İlk olarak, github üzerinden, Slowloris uygulamasını indirip içine girelim.

https://github.com/gkbrk/slowloris

git clone https://github.com/gkbrk/slowloris.git
cd slowloris

Uygulama python ile yazılmıştır. Hedef domain/ip adresini  ve soket sayısını belirterek saldırıyı başlatabilirsiniz.

python3 slowloris.py example.com

Örneğin, ben kendi local sunucum üzerinde bir apache2 servisi ayağa kaldırıp, buna istek göndermeye başladım.

python3 slowloris.py 192.168.168.136 -s 500

Çok kısa bir süre içinde servis etkisiz hale geldiğini rahatlıkla görebildim.

Slowloris Saldırısını Azaltma

 Bu tür bir saldırının etkisini azaltmanın yolları vardır. Genel olarak bunlar;

  1. Web sunucusunun izin vereceği maksimum istemci sayısını arttırmak
  2. Tek bir IP adresinden gelecek bağlantı sayısını sınırlamak
  3. Bir bağlantıda izin verilen minimum aktarım hızını kısıtlamak
  4. Bir istemcinin bağlı kalmasına izin verilen süreyi sınırlandırmak
  5. Bant Genişliği Arttırmak
  6. Sunucunun izin vereceği maksimum istemci sayısını arttırmak
  7. Reverse Proxy
  8. Load Balancer
  9. Firewall
  10. Anti-DDoS donanım ve yazılım kullanmak
Blog'a Dön