Zombie-Auferstehung: SlowLoris

2. April 2024

SlowLoris, obwohl 2009 von RSnake entwickelt und damit eine alte DOS-Technik, hat seinen Weg in moderne Angriffstools gefunden und wird vor allem von größeren Botnetzen genutzt. Wir werden in diesem Artikel erklären, warum SlowLoris-Angriffe wieder ein Thema sind.

SlowLoris in Kurzform: Während des Angriffs werden extrem viele HTTP-Verbindungen geöffnet, aber nie abgeschlossen. Für weitere Details und Hintergründe zur SlowLoris-Attacke siehe die Links in den untenstehenden Referenzen.

Während SlowLoris vor 10-14 Jahren aufgrund der damaligen Dominanz des Apache-Webservers eine sehr erfolgreiche Angriffstechnik war (nginx zum Beispiel war nie anfällig dafür), wurde das Problem selbst etwa 2015 behoben. Zeitsprung ins Jahr 2022: Die Infrastrukturen haben sich massiv weiterentwickelt, die Webstacks haben enorm an Größe und Komplexität gewonnen: DDoS-Appliances, Firewalls, Loadbalancer, TLS-Offloader, noch mehr Loadbalancer, CloudStacks, MultiCloud, Orchestrierung, Serverless, Autoscaling, APIs, OAuth, SingleSignOn, etc. Das Web besteht jetzt aus Schichten über Schichten über Schichten.

src: Geek And Poke https://geekandpoke.typepad.com/.a/6a00d8341d3df553ef01156f3f1664970b

An dieser Stelle setzen die „modernen“ Slowloris-Angriffe an. Der ursprüngliche Slowloris-Angriff wurde von einem einzigen Computer aus gestartet und war sogar über Tor erfolgreich, war aber für den Angriff auf einen einzelnen Webserver gedacht.

Moderne DDoS-Botnetze haben 1000/2000/5000 oder mehr Bots, oft Server, die alle gleichzeitig einen Slowloris-Angriff starten und so Millionen von HTTP-Verbindungen öffnen und offen halten können. Das Ergebnis: Eine der miteinander verbundenen Komponenten kann keine neuen Sitzungen mehr öffnen, und der DDoS-Angriff ist somit erfolgreich.

Und seit Protokoll-Attacken/Stack-Attacken im Jahr 2022 weit verbreitet sind, liefern wir bei Layer-7-DDoS-Stresstests immer mehr SlowLoris-Attacken, meist auf Anfragen von Clients, mit einer Erfolgsquote von 50%.

Der erste Screenshot wurde während eines Tests mit 5000 Bots gegen einen gut dimensionierten Loadbalancer-Cluster aufgenommen und zeigt die Auswirkungen recht gut. Die Bots halten fast 3 Millionen HTTP-Verbindungen offen, keine neuen Anfragen kommen durch, und der DDoS-Angriff ist erfolgreich.

*System under Stress during a slowloris-attack / Bigger LB-Cluster*

Der nächste Screenshot zeigt denselben Angriff auf Cloudflare, das trotz 5 Millionen offener HTTP-Sitzungen völlig unbeeindruckt ist.

Das „Charmante“ an Slowloris aus Sicht des Angreifers: Der Angriff ist nicht so einfach und offensichtlich zu erkennen und zu entschärfen, denn

Im Gegensatz zu einer normalen GetFlood werden die HTTP-Anfragen nicht abgeschlossen und nur sporadisch erneuert.
Daher sieht die normale WAF/BotDefense keinen Dauerbeschuss und kann nicht blockieren.
Der Datenverkehr nimmt insgesamt nicht wesentlich zu, und da nicht ständig neue Verbindungen initiiert werden, sind verschiedene ratenbegrenzende Module oder die SynFlood-Erkennung „blind“. Die einzigen Anzeichen sind die laufenden TCP-Sitzungen auf Firewalls und HTTP-Sitzungen auf Load Balancern.

Das Problem ist so immanent, dass sogar Microsoft und die Azure-Cloud im Juni 2023 Probleme mit einem massiven Slowloris-Angriff hatten.

Und wie immer, wenn ein Angriffsvektor erfolgreich ist und es in die Medien schafft, werden alle anderen Akteure nachziehen. Wir werden also in den nächsten Monaten mehr SlowLoris sehen, denn Layer-7-Angriffe sind im Jahr 2023 ohnehin „DAS DING“.

Viel Spaß beim Fragmentieren.

Quelle: Cybervandals | a Blog on modern DDoS – warfare

References