Perl-Skript „slowloris“ legt Apache-Websites lahm

Das letzte Woche im Internet veröffentlichte Tool „slowloris“ bereitet derzeit vielen Webmastern Kopfzerbrechen. Mit dem in Perl geschriebenen Programm ist es möglich, gegen jeden Apache-Webserver eine einfache, aber effektive DoS-Attacke zu fahren. Es sendet unvollständige HTTP-Request-Header an einen Apache-Server, der daraufhin in der Standardeinstellung fünf Minuten wartet, dass der fehlende Teil des Headers gesendet wird. So lange bleibt die TCP-Verbindung auf dem Apache-Server geöffnet.

Da jeder Apache-Prozess in der Default-Konfiguration maximal 256 TCP-Verbindungen zulässt, ist es innerhalb kürzester Zeit möglich, mit einem einzigen Angriffsrechner zu bewirken, dass ein Apache-Prozess keine weiteren Verbindungen annimmt und damit faktisch ausfällt. Meist arbeiten Apache-Server mit nur wenigen Prozessen, die sich auf diese Weise alle blockieren lassen.

Das Skript ist derart einfach zu bedienen, dass keine technischen Vorkenntnisse erforderlich sind. Betroffen sind alle Betreiber von Apache-Servern, die den direkten Zugriff aus dem Internet zulassen. Wer vorgeschaltete Komponenten, etwa einen Reverse-Proxy oder einen Load-Balancer verwendet, muss im Einzelfall prüfen, ob er betroffen ist. Der Apache-Web-Server hat laut Netcraft einen weltweiten Marktanteil von 47,12 Prozent, gefolgt von Microsofts Internet Information Server mit 24,80 Prozent, gemessen an der Anzahl der Domainnamen.

Bojan Zdrnja empfiehlt in einem Blogeintrag des Internet Storm Center allen betroffenen Webmastern bis zum Erscheinen eines Fixes, vorsichtig mit einer Herabsetzung der TimeOut-Direktive zu experimentieren. Setze man diese beispielsweise auf fünf Sekunden, so laufe man bereits Gefahr, legitime Nutzer mit langsamen Verbindungen auszusperren.

Die Herabsetzung dieses Wertes löse zwar das grundsätzliche Problem nicht, aber ein Angreifer müsse dann 256 Verbindungen innerhalb von weniger als fünf Sekunden öffnen, was slowloris in der Standardeinstellung nicht macht, um nicht durch eine intelligente Firewall entdeckt zu werden. Das könne viele Skript-Kiddies abhalten. Eine andere Möglichkeit zur Gefahrenabwehr sieht Zdrnja in der Verwendung des Moduls mod_limitpconn, dass die Anzahl der TCP-Verbindungen von einer einzigen IP-Adresse limitiert. Hier laufe man jedoch Gefahr, Nutzer aus größeren NAT-Installationen auszusperren, da alle Anwender dieselbe öffentliche IP-Adresse nutzen.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

13 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago