• IT-Karriere:
  • Services:

Slowloris - HTTP DoS bremst Webserver aus

Partielle HTTP-Anfragen legen Apache & Co lahm

Das vom Sicherheitsspezialisten Robert Hansen alias RSnake entwickelte Slowloris bremst Webserver aus, bis diese ihren Dienst einstellen. Partielle HTTP-Anfragen sorgen dafür, dass der Server regelrecht verstopft.

Artikel veröffentlicht am ,

Slowloris öffnet HTTP-Verbindungen und hält sie so lange wie möglich offen. Bei Webservern, die auf eine bestimmte Zahl paralleler Anfragen beschränkt sind, reichen in der Regel einige hundert HTTP-Verbindungen aus, um den Server für weitere Anfragen zu blockieren.

Stellenmarkt
  1. ERGO Group AG, Düsseldorf
  2. Schaeffler Technologies AG & Co. KG, Nürnberg

Im Vergleich zu herkömmlichen Flood-Angriffen soll diese Methode mit relativ wenig Ressourcen auf Seiten des Angreifers auskommen, so Hansen. Die Last auf dem Server steigt dabei nicht an, vielmehr hält er zu viele Verbindungen zu lange offen, ohne etwas zu tun.

Betroffen von dem Angriff sind vor allen prozessorientiert arbeitende Webserver wie Apache, dhttp und Squid, nicht aber solche, die viele Threads offen halten wie Microsofts IIS oder Lighttpd. Loadbalancer, die vor die Webserver geschaltet sind, können das Problem beheben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 46,19€ (Standard Edition)/59,39€ (Digital Deluxe Edition)
  2. (u. a. Crucial Ballistix 16GB DDR4-3200 RGB für 78,78€, Crucial Ballistix 32GB DDR4-2666 für...
  3. (u. a. AVM Fritz!Box 7530 für 115,03€, Samsung Galaxy Tab S6 Lite + Samsung Itfit Book Cover...
  4. (aktuell u. a. Urban Empire für 4,99€, Dead Rising 4 für 9,99€, Need for Speed: Heat für 22...

User 21. Jun 2009

Gut.

scener 19. Jun 2009

Alles in allem hast du recht: der IIS schlägt das boardgedöns von Linux um Längen...

loltroll 19. Jun 2009

zumindest hab ich bei keinem ausser bei dir so lustige Formulierungsfehler gelesen

Senior PHP... 18. Jun 2009

nur hobbyserver hängen direkt im netz, für die interessiert sich aber sowieso keiner...

Moehre relaoded 18. Jun 2009

Schon lange bekannt und auch logisch herleitbar...


Folgen Sie uns
       


Gesichtertausch für Videokonferenzen mit Avatarify - Tutorial

Wir erklären, wie sich das eigene Gesicht durch ein beliebiges animiertes Foto ersetzen lässt.

Gesichtertausch für Videokonferenzen mit Avatarify - Tutorial Video aufrufen
    •  /