Von einem Systemadministrator aus dem Alltag: Mod_qos gegen Slowloris
Nach verlangsamten Äffchen benannt, greift ein Werkzeug einfach aber tödlich auf Webserver an. Distributed Denial of Service Attacken gegen Webserver wurden mit roher Kraft verbunden: Slowloris[1] zeigt, dass DoS anders funktioniert. Anstelle von mehr Anbindungen, als der Webserver bewältigen kann, setzt sich das Werkzeug durch langsame Bewegungen durch.
Langsam wird jede HTTP-Anfrage mit langer Unterbrechung und Homöopathie übergeben, ohne sie jemals zu beenden. Der Abstand zwischen den Headerhäppchen ist gerade so lang, dass der Datenserver die Verbindungen aufgrund von Timeout nicht schließen kann. Falls alle Steckplätze durch slowloris-Verbindungen besetzt sind, wird der Datenserver für regelmäßige HTTP-Requests gesperrt. Ein bizarrer Zustand, dem auch Slow Loris seinen Titel verdankt: Slow Loris sind Faultiere[2].
Mit der Lähmung von Regierungsgegnern im Rahmen der Präsidentschaftswahlen 2009 hat das Instrument eine besondere Berühmtheit erlangt. Damit der Planet nicht ohne Kampf den Äffchen ausgeliefert wird, gibt es mehrere Bausteine, die den Rechner schonen. Ihre Verteidigungsstrategie: Unterschreitet der Durchsatz eines Sockets einen bestimmten Grenzwert (der "QS_SrvMaxConnClose" konfiguriert), so wird die Leitung getrennt und der so genannte Steckplatz ist wieder verfügbar.
Wir haben die Sicherheit von IDS und IPS von der API HTML5 für den L7 DoS-Angriff geprüft und die Gegenmaßnahme gegen den Slowloris-Angriff entwickelt. Es ist einfach, WebSocket-basierte Dienste zu deaktivieren, indem man langsam partielle Anfragepakete sendet.
Der Service wird vom Server nicht mehr angeboten, da durch den Slowloris-Angriff der Anfragepuffer voll ist. Die wichtigsten Merkmale der Gegenmaßnahme sind die Trennung des Pufferspeichers nach dem Zustand der Verbindungen und die uneingeschränkte Annahme der Anforderung. Dans cette ist eine Bedarfspufferstruktur ohne Mehrweite unter Verwendung eines Ringpuffers. Die Verbindungen nach dem Handshake-Vorgang werden in einen anderen Puffer verschoben, so dass sie von dem Request-Angriff nicht betroffen sind.
Im Gegensatz dazu wird bei unserer Konstruktion, wenn der Abfragepuffer voll ist, die älteste Abfrage durch eine neue Abfrage überschrieben. Schließlich ermöglicht unser Vorschlag, dass die gutartigen Anfragen während des Angriffs von Slowloris erfolgreich sind. 000 Lehrbücher und etwa 500 Zeitschriften aus den Bereichen: 000 Lehrbücher und 300 Zeitschriften aus den Bereichen: 000 Lehrbücher und 300 Zeitschriften aus den folgenden Themen: 300 Zeitschriften:
Mannikopoulos, C., Papavassiliou, S. : Netzwerkintrusion und Fehlererkennung : ein statistischer Anomalieansatz. Springer, Heidelberg (2012). doi: 11. Dezember 2012. McGregory, S.: Vorbereitung auf den nächsten DDoS-Angriff. Djang, J.-S.: Erkennung von HTTP GET-Flutattacken mit AIGG-Schwellenwert. Springer, Heidelberg (2012). doi: 25. Mithilfe von Entscheidungsbäumen zur Verbesserung der signaturbasierten Eindringungserkennung.
Springer, Heidelberg (2003). doi: 24. Februar 2003. Yi, H.K., Parks, P.K., Min, S., Ryou, J.C.: DDoS-Erkennungsalgorithmus mit bidirektionaler Sitzung. Springer, Heidelberg (2011). doi: 29. August 2011.