Remote-Handbremse für Webserver
Webserver wie Apache und dhttpd lassen sich Aufgrund eines Features des HTTP-Protokolls unter Umständen mit einem gewöhnlichen Internet-PC lahmlegen.
- Christiane Rütten
Der Security-Spezialist Robert "RSnake" Hansen hat ein Tool veröffentlicht, das selbst große Webserver mit einem gewöhnlichen Internet-PC lahmlegen kann. "Slowloris" nutzt keine Sicherheitslücken aus, sondern basiert auf einem Feature des HTTP-Protokolls: partielle HTTP-Anfragen. Clients müssen nicht die gesamten Daten eines GET- oder POST-Requests in einem Rutsch an den Server liefern, sondern können sie auf mehrere Pakete verteilen.
Je nach Konfiguration des Servers sorgt jedoch schon die erste Teilanfrage dafür, dass er erhebliche Ressourcen für die Beantwortung reserviert, während er auf den Rest der Anfrage wartet. Anfällig für die Remote-Handbremse sind nun ausgerechnet diejenigen Webserver, die bestimmte Strategien zur Vermeidung von Systemüberlastung umsetzen und beispielsweise nur eine begrenzte Zahl paralleler HTTP-Anfragen zulassen. Laut Hansen sind dies unter anderem Apache, dhttpd, GoAhead WebServer und Squid, nicht jedoch Microsofts IIS und lighttpd.
Die Grundidee des neuen Denial-of-Service-Konzeptes ist den DoS-Attacken mit halboffenen TCP-Verbindungen vergangener Jahre entlehnt, nur dass in diesem Fall die anderen Server-Dienste weitgehend unbeeinflusst bleiben, während der HTTP-Dienst nicht mehr erreichbar ist. Schützen kann man Webserver durch den Einsatz von Load-Balancern wie Perlbal und Web Application Firewalls, die nur vollständige HTTP-Anfragen an die Server durchreichen. Daher dürfte der neue Angriff den meisten Admins großer Websites keine schlaflosen Nächte bereiten. Entschärfen lässt sich das Problem im Falle eines Angriffs etwa durch Herabsetzen der Timeout-Parameter für HTTP-Anfragen.
Siehe dazu auch:
- Slowloris HTTP DoS, Konzepterklärung von RSnake
(cr)
