Ataque DDoS Slowris

O ataque Slowloris tenta sobrecarregar um servidor de destino abrindo e mantendo muitas conexões HTTP simultâneas com o destino.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir um ataque DDoS Slowris
  • Explicar como funciona um ataque Slowloris
  • Entender várias estratégias de mitigação para um ataque Slowloris

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é um ataque DDoS Slowris?

O Slowloris é um programa de ataque de negação de serviço que permite que um invasor sobrecarregue um servidor alvo abrindo e mantendo muitas conexões HTTP simultâneas entre o invasor e o alvo.

Diagrama de ataque Slowloris

Como funciona um ataque Slowloris?

O Slowloris é um ataque na camada de aplicação que opera utilizando solicitações HTTP parciais. O ataque funciona abrindo conexões com um servidor web de destino e, em seguida, mantendo essas conexões abertas pelo maior tempo possível.

O Slowloris não é uma categoria de ataque, mas sim uma ferramenta de ataque específica projetada para permitir que uma única máquina derrube um servidor sem usar muita largura de banda. Ao contrário dos ataques DDoS baseados em reflexão que consomem largura de banda, como Amplificação de NTP, esse tipo de ataque usa uma quantidade baixa de largura de banda e, em vez disso, visa usar recursos do servidor com solicitações que parecem mais lentas do que o normal, mas imita o tráfego normal. Ele se enquadra na categoria de ataques conhecidos como ataques "baixos e lentos". O servidor de destino terá apenas alguns threads disponíveis para lidar com conexões simultâneas. Cada thread do servidor tentará permanecer ativo enquanto aguarda a conclusão da solicitação lenta, o que nunca ocorre. Quando o máximo de conexões possíveis do servidor for excedido, cada conexão adicional não será atendida e ocorrerá a negação de serviço.

Um ataque Slowloris ocorre em 4 etapas:

  1. O invasor primeiro abre várias conexões com o servidor de destino enviando vários cabeçalhos de solicitação HTTP parciais.
  2. O alvo abre um thread para cada solicitação recebida, com a intenção de fechar o thread assim que a conexão for concluída. Para ser eficiente, se uma conexão demorar muito, o servidor irá encerrar a conexão que exceder o tempo limite, liberando o thread para a próxima solicitação.
  3. Para evitar que o alvo atinja o tempo limite das conexões, o invasor envia periodicamente cabeçalhos de solicitação parciais ao alvo para manter a solicitação ativa. Em essência, dizendo: “Ainda estou aqui! Eu sou apenas lento, por favor, espere por mim”.
  4. O servidor de destino nunca pode liberar nenhuma das conexões parciais abertas enquanto aguarda o término da solicitação. Quando todos os threads disponíveis estiverem em uso, o servidor não poderá responder a solicitações adicionais feitas a partir do tráfego regular, resultando em negação de serviço.

A chave por trás de um Slowloris é sua capacidade de causar muitos problemas com muito pouco consumo de largura de banda.

Como um ataque Slowloris é mitigado?

Para servidores web vulneráveis ao Slowloris, existem maneiras de mitigar parte do impacto. As opções de mitigação para servidores vulneráveis podem ser divididas em 3 categorias gerais:

  1. Aumentar a disponibilidade do servidor - Aumentar o número máximo de clientes que o servidor permitirá a qualquer momento aumentará o número de conexões que o invasor deve fazer antes de pode sobrecarregar o servidor. Realisticamente, um invasor pode escalar o número de ataques para superar a capacidade do servidor, independentemente dos aumentos.
  2. Limitação de taxa de solicitações recebidas - Restringir o acesso com base em determinados fatores de uso ajudará a mitigar um ataque Slowloris. Técnicas como limitar o número máximo de conexões que um único endereço de IP pode fazer, restringir velocidades de transferência lentas e limitar o tempo máximo que um cliente pode permanecer conectado são todas abordagens para limitar a eficácia de ataques baixos e lentos.
  3. Proteção baseada em nuvem - Usar um serviço que possa funcionar como um proxy reverso, protegendo o servidor de origem.

Como a Cloudflare mitiga um ataque Slowloris?

A Cloudflare armazena em buffer as solicitações recebidas antes de começar a enviar qualquer coisa para o servidor de origem. Como resultado, o tráfego de ataque “baixo e lento”, como os ataques Slowloris, nunca atinge o alvo pretendido. Saiba mais sobre como a proteção contra DDoS da Cloudflare para os ataques Slowloris.