Slowloris es un tipo de herramienta de ataque de denegación de servicio que permite que una sola máquina elimine el servidor web de otra máquina con un ancho de banda mínimo y efectos secundarios en servicios y puertos no relacionados.
Slowloris intenta mantener abiertas muchas conexiones con el servidor web de destino y mantenerlas abiertas el mayor tiempo posible. Lo logra abriendo conexiones al servidor web de destino y enviando una solicitud parcial. Periódicamente, enviará encabezados HTTP posteriores , agregando, pero nunca completando, la solicitud. Los servidores afectados mantendrán abiertas estas conexiones, llenando su grupo máximo de conexiones simultáneas, y eventualmente negarán intentos de conexión adicionales de los clientes. [1]
El programa lleva el nombre de los loris lentos , un grupo de primates conocidos por su movimiento lento.
Debido a que Slowloris aprovecha los problemas al manejar miles de conexiones , el ataque tiene un efecto menor en los servidores que manejan bien un gran número de conexiones. Se han recomendado [3] servidores proxy y aceleradores de almacenamiento en caché como Varnish , nginx y Squid [3] para mitigar este tipo de ataque en particular. Además, ciertos servidores son más resistentes al ataque por su diseño, incluidos Hiawatha, [4] IIS , lighttpd , Cherokee y Cisco CSS .
Si bien no existen configuraciones confiables de los servidores web afectados que prevengan el ataque de Slowloris, existen formas de mitigar o reducir el impacto de dicho ataque. En general, implican aumentar el número máximo de clientes que permitirá el servidor, limitar el número de conexiones que puede realizar una única dirección IP , imponer restricciones sobre la velocidad mínima de transferencia que se permite tener una conexión y restringir el tiempo. un cliente puede permanecer conectado.
En el servidor web Apache, se pueden utilizar varios módulos para limitar el daño causado por el ataque Slowloris; Se han sugerido los módulos de Apache mod_limitipconn, mod_qos , mod_evasive, mod security , mod_noloris y mod_antiloris como medios para reducir la probabilidad de un ataque exitoso de Slowloris. [1] [5] Desde Apache 2.2.15, Apache envía el módulo mod_reqtimeout como la solución oficial respaldada por los desarrolladores. [6]