(openPR) Ein neues Hackertool namens Slowloris bremst Webserver remote aus - DoS Schutzmaßnahmen greifen hierbei leider nicht.
Worum es geht:
Denial-of-Service Attacken (DoS) gegen alle Arten von Serversoftware sind nicht neu. Die Idee dahinter ist, so viele Anfragen wie möglich an einen Dienst abzusetzen, bis dieser selbigen quittiert. Beliebte DoS Ziele sind neben Datenbank-, DNS- und Mailservern natürlich auch Webserver. DoS Attacken bleiben nicht unbemerkt, und so wundert es nicht, dass bleibende Imageschäden bei Betreibern grosser Websites etwa für Unmut sorgen und die notwendigen Konsequenzen daraus gezogen werden müssen: Wer möchte es sich schon leisten, dass die eigene Website von überall aus "abgeschaltet" werden kann?. Regelmässige Updates und Audits sind wichtig, helfen aber unter Umständen nicht gegen Attacken der hier beschriebenen Art. Moderne Systeme sind bisweilen - zumindest in aktuellen Versionen - immun gegen Denial-of-Service, so wie auch der populäre und bei Administratoren beliebte Apache Webserver.
Kürzlich wurde vom bekannten Security Spezialisten Robert Hansen (RSnake) ein Tool entwickelt, dass genau die Webserver ferngesteuert ausbremst, die von Haus aus bereits sehr wirkungsvolle Mechanismen gegen CPU Überlastung und DoS implementiert haben.So reduzieren sie von vornherein die Anzahl gleichzeitiger HTTP Anfragen pro Client oder verwalten Speicherplatz im RAM dynamisch, effizient und vorausschauend (Stichwort: Threading,. Das von Hanser entwickelte Tool mit dem wohlklingenden Namen "Slowloris" ist in Perl geschrieben und macht sich ein Feature des HTTP Protokolls für den gezielten Angriff zu nutze: Partielle Requests.
Die Idee dahinter ist denkbar einfach: ein Request wird vom anfragenden Client nicht am Stück abgesetzt, sondern quasi in kleinen "Häppchen". Der Webserver erhält nun pro Anfrage mehrere Pakete und sollte diese danach zusammenfügen. Wählt man nun den Inhalt der ersten Pakete so geschickt, wie es "Slowloris" tut, wird der Webserver dazu gebracht, Ressourcen im Hauptspeicher vorab zu reservieren. Da diese Anfrage noch nicht vollständig ist, wird diese zum Zeitpunkt der Paketzustellung auch noch nicht vollständig abgearbeitet und mit einer Response beantwortet. Aber Achtung: nicht nur Apache ist betroffen, wer sich z. B. hinter einem Squid Proxy in Sicherheit wähnt, muss enttäuscht werden. Lediglich Microsofts IIS und lighttpd (um die populären zu nennen) ignorieren diese Art der Anfrage Kompromitierung.
Abhilfe kann hier der Einsatz eines Reverse Proxies schaffen: Dieser wird vor dem eigentlichen Webserver platziert und leitet nur vollständige (also korrekte) Anfragen an den oder die dahinter liegenden Webserver weiter. Der in Halle (Saale) ansässige LAMP Spezialist "managed ebusiness GbR." unterstützt alle Interessenten bei der Umsetzung dieses Vorhabens und berät Kunden, die davon möglicherweise betroffen sind. Dazu bietet der Dienstleister ein Beratungspaket "LAMP Absicherung", welches auch die konkrete Umstellung betroffener Systeme enthält.
LAMP bezeichnet den sehr populären Komponenten-Stack für Webapplikation, bestehend aus Linux, Apache, MySQL und PHP.
