Bloccare qualsiasi Web Server Apache con Slowloris DoS Tool

Nonstante Apache sia il web server più diffuso e robusto in circolazione, esso può essere seriamente compromesso utilizzando Slowloris DoS Tool, un semplicissimo tool in grado di lanciare un attacco di tipo DoS (Denial of Service) che in poco tempo consente di esaurire completamente le connessioni HTTP disponibili rendendo così il sito totalmente irraggiungibile.

Di tool in grado di lanciare attacchi DoS ce ne sono molti in circolazione e spesso si basano sul vulnerabilità a livello diprotocollo  TCP, ma Slowloris DoS Tool è sicuramente quello che si caratterizza meglio di tutti per la banalità del principio di funzionamento e nello stesso tempo per l’efficacia che riesce ad avere su praticamente tutte le versioni di Apache e di altri Web Server.

Slowloris DoS Tool è un piccolo script scritto in Perl che non fa altro che inviare una serie continua di richieste HTTP incomplete verso il server vittima il quale alloca per ognuna di esse una connessione e rimane in attesa di ricevere l’header HTTP completo che non arriverà mai. più in dettaglio, Slowloris invia la seguente richiesta:

GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n
Content-Length: 42\r\n

Notate che non viene inviato il CRLF che indicherebbe il completamento della richiesta; invece, dopo qualche istante viene inviato l’header seguente:

X-a: b\r\n

che non ha alcun significato ed induce il server a rimanere in attesa delle successive informazioni che appunto non ariveranno mai.

Questa vulnerabilità sembra affliggere i seguenti web server:

• Apache 1.*
• Apache 2.*
• dhttpd
• GoAhead WebServer
• Squid

Mentre sembrano esserne esenti:

• IIS
• lighthttpd
• nginx
• Cherokee

Attualmente l’unico modo per mitigare e gli effetti di questo tipo di attacco consiste nel limitare il numero di accessi provenienti dal medesimo IP address in un arco di tempo particolarmente breve.

Slowloris DoS Tool è efficace sono se utilizzato su Linux (Windows ha dei limiti troppo restrittivi sul numero di socket gestibili in parallelo). La sintassi per lanciarlo è la seguente:

perl slowloris.pl -dns example.com

Lo scopo di questo articolo è puramente dimostrativo: non mi assumo alcuna responsabilità sull’uso improprio che protreste dare di questo tool. Tenete solo presente che normalmente tutti i web Server mantengono un log dettagliato di tutte le richieste, per cui non è difficile risalire ad uno specifico IP address.

Scarica slowloris.pl