Perl-Skript „slowloris“ legt Apache-Websites lahm

Das letzte Woche im Internet veröffentlichte Tool „slowloris“ bereitet derzeit vielen Webmastern Kopfzerbrechen. Mit dem in Perl geschriebenen Programm ist es möglich, gegen jeden Apache-Webserver eine einfache, aber effektive DoS-Attacke zu fahren. Es sendet unvollständige HTTP-Request-Header an einen Apache-Server, der daraufhin in der Standardeinstellung fünf Minuten wartet, dass der fehlende Teil des Headers gesendet wird. So lange bleibt die TCP-Verbindung auf dem Apache-Server geöffnet.

Da jeder Apache-Prozess in der Default-Konfiguration maximal 256 TCP-Verbindungen zulässt, ist es innerhalb kürzester Zeit möglich, mit einem einzigen Angriffsrechner zu bewirken, dass ein Apache-Prozess keine weiteren Verbindungen annimmt und damit faktisch ausfällt. Meist arbeiten Apache-Server mit nur wenigen Prozessen, die sich auf diese Weise alle blockieren lassen.

Das Skript ist derart einfach zu bedienen, dass keine technischen Vorkenntnisse erforderlich sind. Betroffen sind alle Betreiber von Apache-Servern, die den direkten Zugriff aus dem Internet zulassen. Wer vorgeschaltete Komponenten, etwa einen Reverse-Proxy oder einen Load-Balancer verwendet, muss im Einzelfall prüfen, ob er betroffen ist. Der Apache-Web-Server hat laut Netcraft einen weltweiten Marktanteil von 47,12 Prozent, gefolgt von Microsofts Internet Information Server mit 24,80 Prozent, gemessen an der Anzahl der Domainnamen.

Bojan Zdrnja empfiehlt in einem Blogeintrag des Internet Storm Center allen betroffenen Webmastern bis zum Erscheinen eines Fixes, vorsichtig mit einer Herabsetzung der TimeOut-Direktive zu experimentieren. Setze man diese beispielsweise auf fünf Sekunden, so laufe man bereits Gefahr, legitime Nutzer mit langsamen Verbindungen auszusperren.

Die Herabsetzung dieses Wertes löse zwar das grundsätzliche Problem nicht, aber ein Angreifer müsse dann 256 Verbindungen innerhalb von weniger als fünf Sekunden öffnen, was slowloris in der Standardeinstellung nicht macht, um nicht durch eine intelligente Firewall entdeckt zu werden. Das könne viele Skript-Kiddies abhalten. Eine andere Möglichkeit zur Gefahrenabwehr sieht Zdrnja in der Verwendung des Moduls mod_limitpconn, dass die Anzahl der TCP-Verbindungen von einer einzigen IP-Adresse limitiert. Hier laufe man jedoch Gefahr, Nutzer aus größeren NAT-Installationen auszusperren, da alle Anwender dieselbe öffentliche IP-Adresse nutzen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago