Perl-Skript „slowloris“ legt Apache-Websites lahm

Das letzte Woche im Internet veröffentlichte Tool „slowloris“ bereitet derzeit vielen Webmastern Kopfzerbrechen. Mit dem in Perl geschriebenen Programm ist es möglich, gegen jeden Apache-Webserver eine einfache, aber effektive DoS-Attacke zu fahren. Es sendet unvollständige HTTP-Request-Header an einen Apache-Server, der daraufhin in der Standardeinstellung fünf Minuten wartet, dass der fehlende Teil des Headers gesendet wird. So lange bleibt die TCP-Verbindung auf dem Apache-Server geöffnet.

Da jeder Apache-Prozess in der Default-Konfiguration maximal 256 TCP-Verbindungen zulässt, ist es innerhalb kürzester Zeit möglich, mit einem einzigen Angriffsrechner zu bewirken, dass ein Apache-Prozess keine weiteren Verbindungen annimmt und damit faktisch ausfällt. Meist arbeiten Apache-Server mit nur wenigen Prozessen, die sich auf diese Weise alle blockieren lassen.

Das Skript ist derart einfach zu bedienen, dass keine technischen Vorkenntnisse erforderlich sind. Betroffen sind alle Betreiber von Apache-Servern, die den direkten Zugriff aus dem Internet zulassen. Wer vorgeschaltete Komponenten, etwa einen Reverse-Proxy oder einen Load-Balancer verwendet, muss im Einzelfall prüfen, ob er betroffen ist. Der Apache-Web-Server hat laut Netcraft einen weltweiten Marktanteil von 47,12 Prozent, gefolgt von Microsofts Internet Information Server mit 24,80 Prozent, gemessen an der Anzahl der Domainnamen.

Bojan Zdrnja empfiehlt in einem Blogeintrag des Internet Storm Center allen betroffenen Webmastern bis zum Erscheinen eines Fixes, vorsichtig mit einer Herabsetzung der TimeOut-Direktive zu experimentieren. Setze man diese beispielsweise auf fünf Sekunden, so laufe man bereits Gefahr, legitime Nutzer mit langsamen Verbindungen auszusperren.

Die Herabsetzung dieses Wertes löse zwar das grundsätzliche Problem nicht, aber ein Angreifer müsse dann 256 Verbindungen innerhalb von weniger als fünf Sekunden öffnen, was slowloris in der Standardeinstellung nicht macht, um nicht durch eine intelligente Firewall entdeckt zu werden. Das könne viele Skript-Kiddies abhalten. Eine andere Möglichkeit zur Gefahrenabwehr sieht Zdrnja in der Verwendung des Moduls mod_limitpconn, dass die Anzahl der TCP-Verbindungen von einer einzigen IP-Adresse limitiert. Hier laufe man jedoch Gefahr, Nutzer aus größeren NAT-Installationen auszusperren, da alle Anwender dieselbe öffentliche IP-Adresse nutzen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

4 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

4 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

11 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago