슬로우로리스(컴퓨터 보안)

Slowloris (computer security)
슬로우 로리스
Slowloris running on Command Prompt
명령 프롬프트에서 실행 중인 슬로우로리스
초기 릴리즈2009년 6월 17일
안정적 해제
0.7
기록 위치
플랫폼크로스 플랫폼
크기36kb
유형해킹 도구
웹사이트ha.ckers.org/slowloris/

Slowloris는 하나의 기계가 관련 없는 서비스와 포트에 대한 최소한의 대역폭과 부작용을 가지고 다른 컴퓨터의 웹 서버를 다운시킬 수 있는 서비스 거부 공격 툴의 일종이다.

Slowloris는 대상 웹 서버에 대한 많은 연결을 열어두고 가능한 한 오랫동안 열어두려고 한다.대상 웹 서버에 대한 연결을 열고 부분 요청을 전송하여 이를 달성한다.주기적으로, 그것은 요청서에 추가되지만 결코 완료되지 않는 후속 HTTP 헤더를 전송한다.영향을 받는 서버는 이러한 연결을 열어 최대 동시 연결 풀을 채워 클라이언트의 추가 연결 시도를 거부하게 된다.[1]

이 프로그램의 이름은 느리게 움직이는 것으로 알려진 영장류 무리인 슬로우 로리스의 이름을 따서 지어졌다.

영향을 받는 웹 서버

여기에는 공격의 저자에 따라 다음 사항이 포함되지만 반드시 이에 국한되지는 않는다.[1]

  • 아파치 1.x 및 2.x
  • dhtpd.
  • 웹센스 "블록 페이지" (확인되지 않음)
  • Trapeze Wireless Web Portal(확인되지 않음)
  • Verizon의 MI424-WR FIOS 케이블 모뎀(확인되지 않음)
  • Verizon의 모토로라 셋톱 박스(포트 8082 및 인증 필요 - 확인되지 않음)
  • BeeWare WAF(확인되지 않음)
  • 모든 WAF 거부(패치됨)[2]
  • 플라스크(개발 서버)

슬루로리스는 수천 개의 연결을 처리하는 문제를 이용하기 때문에, 그 공격은 많은 수의 연결을 잘 처리하는 서버에 미치는 영향은 적다.이러한 특정 종류의 공격을 완화하기 위해 서버 프록시 및 바니시, nginx, Squid와 같은 캐싱 가속기가 권장되었다[3].또한 히아와타,[4] IIS, 라이트tpd, 체로키, 시스코 CSS 등 일부 서버는 설계에 의한 공격에 더욱 탄력적이다.

슬로로리스 공격 완화

Slowloris 공격을 막을 수 있는 영향을 받는 웹 서버의 신뢰할 수 있는 구성은 없지만, 그러한 공격의 영향을 완화하거나 줄일 수 있는 방법이 있다.일반적으로, 이것들은 서버가 허용할 최대 클라이언트 수를 증가시키고, 단일 IP 주소의 연결 수를 제한하며, 연결이 허용되는 최소 전송 속도에 제한을 가하고, 클라이언트가 연결 상태를 유지할 수 있는 기간을 제한하는 것을 포함한다.

아파치 웹 서버에서는 Slowloris 공격에 의한 피해를 제한하기 위해 여러 모듈을 사용할 수 있다; Apache 모듈 mod_limitipconn, mod_qos, mod_eviration, mod 보안, mod_noloris, mod_antiloris 모두 Slowloris의 성공적인 공격 가능성을 줄이기 위한 수단으로 제안되었다.[1][5]아파치는 아파치 2.2.15 이후 개발자들이 지원하는 공식 솔루션으로 mod_reqtimeout 모듈을 출하한다.[6]

다른 완화 기법에는 역방향 프록시, 방화벽, 로드 밸런서 또는 콘텐츠 스위치의 설정이 포함된다.[7]관리자는 또한 영향을 받는 웹 서버를 이러한 형태의 공격에 영향을 받지 않는 소프트웨어로 변경할 수 있다.예를 들어 lighttpdnginx는 이 특정 공격에 굴복하지 않는다.[1]

주목할 만한 사용법

2009년 이란 대통령 선거를 계기로 발생한 시위에서 슬로로리스는 이란 정부가 운영하는 사이트에 대한 DoS 공격을 활용하기 위한 중요한 도구로 떠올랐다.[8]DDoS 공격이 폭주하면 정부와 시위대가 소비할 수 있는 대역폭 때문에 인터넷 접속에도 똑같이 영향을 미칠 것이라는 믿음이었다.대신에 Slowloris 공격은 높은 충격과 상대적으로 낮은 대역폭 때문에 선택되었다.[9]gerdab.ir, leader.ir, president.ir를 포함한 많은 정부 운영 사이트들이 이 공격 동안에 표적이 되었다.[10]

이 공격의 변형은 스팸 네트워크인 River City Media에 의해 Gmail 서버가 수천 개의 메시지를 대량으로 보내도록 강요하기 위해 사용되었고, 메시지 송신 요청으로 수천 개의 연결을 열고, 그것들을 한 번에 완료했다.[11]

유사 소프트웨어

출시 이후, Slowloris의 기능을 모방하면서 추가적인 기능을 제공하거나 다른 환경에서 실행하는 많은 프로그램이 등장했다.[12]

  • PyLoris – Tor 및 SOCKS 프록시를 지원하는 프로토콜에 구애받지 않는 Python 구현.[13]
  • SLOYLoris – SOCKS 프록시 지원을 통해 SLOYLoris의 Python 3 구현.[14]
  • 골로리스 – nginx용 슬로우로리스(Goloris)[15]로, Go로 표기함.
  • QSlowloris – Windows에서 실행되도록 설계된 Slowloris의 실행 가능한 형태로 Qt 프런트 엔드를 갖추고 있다.[16]
  • HTTP 서버에서 실행할 수 있는 이름 없는 PHP 버전.[17]
  • SlowHTTPTest – 구성성이 뛰어난 슬로우 공격 시뮬레이터로, C++[18][19]로 작성됨.
  • SlowlorisChecker – Slowloris 및 Slow POST POC(Proof of Concept)루비로 쓰여 있다.[20]
  • Cyphon - 목표-C로 작성된 Mac OS X용 Slowloris.[21]
  • sloww - Node.js로 작성된 슬로로리스 구현.[22]
  • 도톨로리스 - 에 기록된 슬로로리스.NET 코어[23]

참고 항목

참조

  1. ^ a b c d "Slowloris HTTP DoS". Archived from the original on 26 April 2015. Retrieved 26 June 2009.{{cite web}}: CS1 maint : bot : 원본 URL 상태 미상(링크)
  2. ^ "Archived copy" (PDF). Archived from the original (PDF) on 1 February 2014. Retrieved 15 May 2013.{{cite web}}: CS1 maint: 타이틀로 보관된 사본(링크)
  3. ^ "How to best defend against a "slowloris" DOS attack against an Apache web server?". serverfault.com. Retrieved 28 December 2016.
  4. ^ "Performance testing while under attack". hiawatha-webserver.org. 28 February 2014.
  5. ^ "mod_noloris: defending against DoS". niq's soapbox. July 2009. Retrieved 7 January 2012.
  6. ^ "mod_reqtimeout - Apache HTTP Server". Httpd.apache.org. Retrieved 3 July 2013.
  7. ^ Breedijk, Frank (22 June 2009). "Slowloris and Nkiller2 vs. the Cisco CSS load balancer". Cupfighter.net. Archived from the original on 15 February 2012. Retrieved 7 January 2012.
  8. ^ Zdrnja, Bojan (23 June 2009). "ISC Diary Slowloris and Iranian DDoS attacks". Isc.sans.org. Retrieved 7 January 2012.
  9. ^ [1] 2009년 6월 29일 웨이백 머신보관
  10. ^ [2] 2009년 8월 11일 웨이백 머신보관
  11. ^ Vickery, Chris (6 March 2017). "Spammergate: The Fall of an Empire". MacKeeper Security Watch. Archived from the original on 6 March 2017.
  12. ^ Robert "RSnake" Hansen. "Slowloris" (PDF). SecTheory. Retrieved 7 January 2012.
  13. ^ "PyLoris". MotomaSTYLE. 19 June 2009. Archived from the original on 15 July 2009. Retrieved 7 January 2012.
  14. ^ "Slowloris rewrite in Python". GitHub. Retrieved 10 May 2017.
  15. ^ valyala. "Slowloris for nginx DoS". GitHub. Retrieved 4 February 2014.
  16. ^ "How to help take down gerdab.ir in 5 easy steps". cyberwar4iran. 28 June 2009. Retrieved 7 January 2012.
  17. ^ "Full Disclosure: apache and squid dos". Seclists.org. 19 June 2009. Retrieved 7 January 2012.
  18. ^ "Testing Web Servers for Slow HTTP Attacks". qualys.com. 19 September 2011. Retrieved 13 January 2012.
  19. ^ "shekyan/slowhttptest: Application Layer DoS attack simulator". GitHub. Retrieved 19 April 2017.
  20. ^ "Simple script to check if some server could be affected by Slowloris attack". github.com/felmoltor. 31 December 2012. Retrieved 31 December 2012.
  21. ^ abilash. "Slowloris for OSX". GitHub. Retrieved 8 April 2017.
  22. ^ Davis, Ethan (17 February 2018), sloww: Lightweight Slowloris attack CLI in Node, retrieved 18 February 2018
  23. ^ Bassel Shmali (28 November 2021). "Slowloris written in .Net core". GitHub.

외부 링크