06.01.2012, 14:04 Uhr
Langsam Webserver in die Knie zwingen
Ein Spezialist der Security-Firma Qualys hat eine neue Art langsamer DoS-Attacken via HTTP aufgezeigt und ein Tool erweitert, um diese zu testen.
Sergey Shekyan, Qualys
Sergey Shekyans neue Methode, um HTTP-Server (Hypertext Transport Protocol) mit einer DoS-Attacke (Denial of Service) lahmzulegen, beruht darauf, die Zeit zu verlängern, die der Client-Rechner braucht, um die Antworten des Webserver zu lesen.
Die Taktik läuft unter der Bezeichnung «Slow Read DoS» und basiert auf Erkenntnissen von Robert Hansen, Entwickler des «Slowloris HTTP DoS»-Werkzeugs, und von dem kürzlich verstorbenen Jack Louis, Autor der verwandten «Sockstress»-Applikation.
Slowloris legt dabei den Webserver lahm, in dem es die HTTP-Anfragen dermassen verlangsamt, sodass des Pool des Webservers an gleichzietig möglichen Verbindungen aufgebraucht ist und er keine weiteren Anfragen von legitimen Clients mehr zulässt. Im Gegensatz dazu verlangsamt Shekyans Methode nicht die HTTP-Anfragen sondern die Antworten des Servers.
«Die Idee hinter meiner Methode ist simpel: Sende dem Server einen legitimen HTTP-Request und lass diesen die Antwort langsam auslesen, so dass so viele Verbindungen wie möglich gleichzeitig aktiv bleiben», erklärt Shekyan die Vorgehensweise. Lesen Sie auf der nächsten Seite: So zwingt man den Webserver in die Knie
Um dies zu erreichen, muss die Grösse der Antwort des Servers grösser sein, als sein Puffer für den Sendevorgang zu speichern vermag. Denn grössere Antworten werden in Teile zerlegt, die individuell verschickt werden.
Eine zweite Vorraussetzung für eine erfolgreiche Attacke ist es, den Puffer des Servers so lange mit weiteren Informationen prall gefüllt zu halten wie möglich. Dies wird erreicht, indem die Aufnahmefähigkeit des Clients so weit reduziert wird, dass diese geringer ist als der Puffer für den Sendevorgang des Servers.
«TCP sagt zwar nichts über die Grösse des Puffers des Servers aus. Aber wir dürfen annehmen, dass dieser zwischen 65 und 128 Kilobyte liegt», erklärt Shekyan. Um also eine grosse Anwort zu provozieren, muss entweder ein mindestens 128 Kilobyte messendes File angefordert werden, oder eine kleine Datei mehrmals. Wie der Qualys-Forscher meint, sei sein Verfahren noch schwieriger aufzudecken als die Slowloris-Angriffsmethode.
Shekyan hat seine Slow Read DoS denn auch in die Applikation Slowhttptest eingebaut. Dieses Open-Source-Tool wird von Qualys entwickelt und dient dem Test von langsamen DoS-Attacken.
Die Taktik läuft unter der Bezeichnung «Slow Read DoS» und basiert auf Erkenntnissen von Robert Hansen, Entwickler des «Slowloris HTTP DoS»-Werkzeugs, und von dem kürzlich verstorbenen Jack Louis, Autor der verwandten «Sockstress»-Applikation.
Slowloris legt dabei den Webserver lahm, in dem es die HTTP-Anfragen dermassen verlangsamt, sodass des Pool des Webservers an gleichzietig möglichen Verbindungen aufgebraucht ist und er keine weiteren Anfragen von legitimen Clients mehr zulässt. Im Gegensatz dazu verlangsamt Shekyans Methode nicht die HTTP-Anfragen sondern die Antworten des Servers.
«Die Idee hinter meiner Methode ist simpel: Sende dem Server einen legitimen HTTP-Request und lass diesen die Antwort langsam auslesen, so dass so viele Verbindungen wie möglich gleichzeitig aktiv bleiben», erklärt Shekyan die Vorgehensweise. Lesen Sie auf der nächsten Seite: So zwingt man den Webserver in die Knie
Um dies zu erreichen, muss die Grösse der Antwort des Servers grösser sein, als sein Puffer für den Sendevorgang zu speichern vermag. Denn grössere Antworten werden in Teile zerlegt, die individuell verschickt werden.
Eine zweite Vorraussetzung für eine erfolgreiche Attacke ist es, den Puffer des Servers so lange mit weiteren Informationen prall gefüllt zu halten wie möglich. Dies wird erreicht, indem die Aufnahmefähigkeit des Clients so weit reduziert wird, dass diese geringer ist als der Puffer für den Sendevorgang des Servers.
«TCP sagt zwar nichts über die Grösse des Puffers des Servers aus. Aber wir dürfen annehmen, dass dieser zwischen 65 und 128 Kilobyte liegt», erklärt Shekyan. Um also eine grosse Anwort zu provozieren, muss entweder ein mindestens 128 Kilobyte messendes File angefordert werden, oder eine kleine Datei mehrmals. Wie der Qualys-Forscher meint, sei sein Verfahren noch schwieriger aufzudecken als die Slowloris-Angriffsmethode.
Shekyan hat seine Slow Read DoS denn auch in die Applikation Slowhttptest eingebaut. Dieses Open-Source-Tool wird von Qualys entwickelt und dient dem Test von langsamen DoS-Attacken.
