Al giorno d’oggi, gli attacchi DDoS (Distributed Denial of Service) sono all’ordine del giorno.
È un tentativo di attacco molto sofisticato, che vuol sopraffare le vittime generando traffico su un server, provocando l’interruzione del servizio. La difficoltà maggiore che si riscontra quando si ha a che fare con un attacco DDoS, è l’impossibilità da parte dei firewall di svolgere la loro funzione di protezione. La ragione di ciò sta nel fatto che il più delle volte le macchine coinvolte nell’attacco sono molte e provengono da aree geografiche diverse. È la grande quantità di richieste a mandare in tilt il sistema.
Indice dei contenuti:
Che cos’è l’attacco DDoS Slowloris?
Nel 2009, la RSnake ha rivelato l’esistenza di un cyber attacco che ebbe largo successo nei forum e blog di settore. Questo veniva effettuato con uno strumento che non richiedeva larghezza di banda in quanto colpiva esclusivamente l’HTTP senza influire sugli altri servizi in esecuzione sul server. Il nome attribuito a questo meccanismo gli calza decisamente a pennello: “Slowloris“, in quanto può portare in down un server web con una procedura lenta e metodica.
Slowloris colpisce utilizzando richieste HTTP parziali e mantenendo tali connessioni aperte in simultanea il più a lungo possibile.
Come funziona un attacco Slowloris HTTP?
Il malintenzionato apre anzitutto più connessioni al server tramite richieste HTTP parziali. Se una connessione richiede troppo tempo per completare una richiesta, il server interromperà la connessione liberando il thread, quindi il processo del server che gestisce le richieste/connessioni del client, per la richiesta successiva. In questo caso, il cyber criminale invia regolarmente richieste HTTP parziali al server di destinazione per mantenere attiva la connessione e fino a sopraffare il server.
La chiave dietro uno Slowloris è la sua capacità di effettuare attacchi con un consumo di larghezza di banda molto ridotto.
Come prevenire un attacco di Slowloris?
Esistono delle attività per mitigare un attacco Slowloris, come:
- Utilizzare un Hardware Load Balancer che accetti solo connessioni HTTP complete è il modo migliore per bloccare un attacco, questo perché il Load Balancer controlla il pacchetto ed inoltra al server web solo le richieste http complete.
- Se si utilizza un BIG-IP Load Balancer basato su F5 vi consigliamo la lettura dell’approfondimento su MyF5.
- Utilizzare una CDN come Cloudflare. Cloudflare bufferizza le richieste in arrivo prima di iniziare a inviare qualsiasi cosa al server di origine . Di conseguenza, il traffico di attacchi “basso e lento” come gli attacchi di Slowloris non raggiunge mai l’obiettivo prefissato. Scopri di più su come la protezione DDoS di Cloudflare blocca gli attacchi slowloris.
