Badam podatność na atak Slowlori i myślę, że rozumiem, jak i dlaczego ten rodzaj ataku działa.
Nie rozumiem, dlaczego nie dotyczy to Lighttpd i NginX (zgodnie z tym samym artykułem, co link powyżej). Czym się tak różnią?
źródło
Badam podatność na atak Slowlori i myślę, że rozumiem, jak i dlaczego ten rodzaj ataku działa.
Nie rozumiem, dlaczego nie dotyczy to Lighttpd i NginX (zgodnie z tym samym artykułem, co link powyżej). Czym się tak różnią?
Apache ma teorię „maksymalnej liczby klientów”
Jest to liczba jednoczesnych połączeń, które może obsłużyć. IE, jeśli serwer apache ma limit „maksymalnej liczby klientów” 100, a każde żądanie zajmuje 1 sekundę, może obsłużyć maksymalnie 100 żądań na sekundę.
Aplikacja taka jak SlowLoris zaleje serwer połączeniami, w naszym przykładzie, jeśli SlowLoris wysyła 200 połączeń na sekundę, a Apache może obsłużyć tylko 100 połączeń na sekundę, kolejka połączeń będzie się powiększać i zużyje całą pamięć na komputerze, doprowadzając ją do hault. Jest to podobne do sposobu działania Anonimowego LOIC.
NGINX i Lighttpd (między innymi) nie mają maksymalnych połączeń, zamiast tego używają wątków roboczych, więc teoretycznie nie ma ograniczeń co do liczby obsługiwanych połączeń.
Jeśli monitorujesz połączenia Apache, zobaczysz, że większość aktywnych połączeń to „Wysyłanie” lub „Odbieranie” danych od klienta. W NGINX / Lighttpd po prostu ignorują te żądania i pozwalają im działać w tle, nie zużywając zasobów systemowych, i musi jedynie przetwarzać połączenia z czymś, co się dzieje (analizowanie odpowiedzi, odczytywanie danych z serwerów zaplecza itp.)
Odpowiedziałem dzisiaj na podobne pytanie, więc informacje tam zawarte mogą być dla ciebie interesujące. Zmniejszanie kolejkowania żądań Apache
Nginx jest w rzeczywistości podatny na atak slowlori. Niedobór zasobów to maksymalna liczba jednoczesnych połączeń roboczych. Liczba ta może być obliczona jako połączenia_procesowe * procesy_procesowe i wynosi 512 w domyślnej konfiguracji nginx. Tak więc dość łatwo jest usunąć niezabezpieczony nginx za pomocą narzędzi takich jak goloris .
źródło
goloris
wygląda na narzędzie, którego potrzebuję, aby upewnić się, że moja implementacja / konfiguracja działa zgodnie z oczekiwaniami!komentarz Valyali powinien zostać zaakceptowany jako odpowiedź.
Większość serwerów nginx używa domyślnych konfiguracji i dlatego jest podatna na atak slowloris. Użyłem slowlori do usunięcia niektórych stron nginx mojego przyjaciela za pomocą mojego laptopa i zwykle trwało to mniej niż 5 minut (moi znajomi mnie o to poprosili).
Jak stwierdziła valyala, technicznie rzecz biorąc, nginx nie jest wrażliwy na slowlori, ale domyślne konfiguracje ograniczają maksymalną liczbę połączeń, więc gdy połączenia przekroczą tę liczbę, nginx odrzuca nowe żądanie, co powoduje odmowę usługi.
Znane sposoby ochrony nginx przed slowlori obejmują ograniczenie liczby połączeń z tego samego adresu IP i zwiększenie konfiguracji pracownik_połączeń. Atak może nadal działać, ale staje się trudniejszy (może zająć więcej niż 5 minut?: D)
źródło