[Slowris.]

Powstał pomysł ataku DoS, który wymagałby wysyłania małej ilości danych.

Slowris. Bo o nim mowa - łączy się z serwerem WWW i wysyła do niego niekompletny nagłówek HTTP. Nie rozłącza się jednak a serwer czeka na resztę nagłówka. Slowris nawiązuje wiele takich połączeń i powoduje, że na serwerze wisi wiele połączeń, co zazwyczaj powiązane jest ze stworzeniem wielu wątków. Serwer zawsze ma jakieś ograniczenie na ilość połączeń lub wątków więc Slowris powoduje wykorzystanie ich wszystkich. Gdy połączenie próbuje nawiązać normalny użytkownik, jego żądanie nie zostaje obsłużone gdyż serwer przekroczył swoje limity.

Działa więc to trochę podobnie do ataku DoS wykorzstującego półotwarte połączenia TCP. Tutaj jednak ma to miejsce na poziomie HTTP a same połączenia TCP są pełne. Co ciekawe podcza ataku nie ma po nim śladu w logach, są one zapisywane bowiem dopiero po odebraniu pełnego zapytania. Dopiero po rozłączeniu pojawi się dużo wpisów z kodem 400.

Jak wykazały eksperymenty, podatne serwery WWW to: Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer a także Squid. Z kolei nie są podatne: IIS6.0, IIS7.0 i lighttpd. Narzędzie jest napisane w perlu, może więc działać pod różnymi systemami. Na Windows jednak nie działa ze względu na wprowadzone w tym systemie, od czasu XP SP2, limity ilości nawiązywanych połączeń.

Źródło: dobreprogramy.pl

Exploit na: http://ha.ckers.org/slowloris/

Na Windows jednak nie działa ze względu na wprowadzone w tym systemie, od czasu XP SP2, limity ilości nawiązywanych połączeń.

Może to i dobrze bo zaraz powstałaby nowa grupa próbujących coś zdziałać na XP

Hm, ciekawe, gdzieś czytałem, że w SP2 do Visty zniesiono limit otwartych połączeń, czy to prawda?

Wiem, że w Viście jest ustawiony chyba na 25.