
SlowLoris, obwohl 2009 von RSnake entwickelt und damit eine alte DOS-Technik, hat seinen Weg in moderne Angriffstools gefunden und wird vor allem von größeren Botnetzen genutzt. Wir werden in diesem Artikel erklären, warum SlowLoris-Angriffe wieder ein Thema sind.
SlowLoris in Kurzform: Während des Angriffs werden extrem viele HTTP-Verbindungen geöffnet, aber nie abgeschlossen. Für weitere Details und Hintergründe zur SlowLoris-Attacke siehe die Links in den untenstehenden Referenzen.
Während SlowLoris vor 10-14 Jahren aufgrund der damaligen Dominanz des Apache-Webservers eine sehr erfolgreiche Angriffstechnik war (nginx zum Beispiel war nie anfällig dafür), wurde das Problem selbst etwa 2015 behoben. Zeitsprung ins Jahr 2022: Die Infrastrukturen haben sich massiv weiterentwickelt, die Webstacks haben enorm an Größe und Komplexität gewonnen: DDoS-Appliances, Firewalls, Loadbalancer, TLS-Offloader, noch mehr Loadbalancer, CloudStacks, MultiCloud, Orchestrierung, Serverless, Autoscaling, APIs, OAuth, SingleSignOn, etc. Das Web besteht jetzt aus Schichten über Schichten über Schichten.
src: Geek And Poke https://geekandpoke.typepad.com/.a/6a00d8341d3df553ef01156f3f1664970b
An dieser Stelle setzen die „modernen“ Slowloris-Angriffe an. Der ursprüngliche Slowloris-Angriff wurde von einem einzigen Computer aus gestartet und war sogar über Tor erfolgreich, war aber für den Angriff auf einen einzelnen Webserver gedacht.
Moderne DDoS-Botnetze haben 1000/2000/5000 oder mehr Bots, oft Server, die alle gleichzeitig einen Slowloris-Angriff starten und so Millionen von HTTP-Verbindungen öffnen und offen halten können. Das Ergebnis: Eine der miteinander verbundenen Komponenten kann keine neuen Sitzungen mehr öffnen, und der DDoS-Angriff ist somit erfolgreich.
Und seit Protokoll-Attacken/Stack-Attacken im Jahr 2022 weit verbreitet sind, liefern wir bei Layer-7-DDoS-Stresstests immer mehr SlowLoris-Attacken, meist auf Anfragen von Clients, mit einer Erfolgsquote von 50%.
Der erste Screenshot wurde während eines Tests mit 5000 Bots gegen einen gut dimensionierten Loadbalancer-Cluster aufgenommen und zeigt die Auswirkungen recht gut. Die Bots halten fast 3 Millionen HTTP-Verbindungen offen, keine neuen Anfragen kommen durch, und der DDoS-Angriff ist erfolgreich.

Der nächste Screenshot zeigt denselben Angriff auf Cloudflare, das trotz 5 Millionen offener HTTP-Sitzungen völlig unbeeindruckt ist.

Das „Charmante“ an Slowloris aus Sicht des Angreifers: Der Angriff ist nicht so einfach und offensichtlich zu erkennen und zu entschärfen, denn
- Im Gegensatz zu einer normalen GetFlood werden die HTTP-Anfragen nicht abgeschlossen und nur sporadisch erneuert.
- Daher sieht die normale WAF/BotDefense keinen Dauerbeschuss und kann nicht blockieren.
- Der Datenverkehr nimmt insgesamt nicht wesentlich zu, und da nicht ständig neue Verbindungen initiiert werden, sind verschiedene ratenbegrenzende Module oder die SynFlood-Erkennung „blind“. Die einzigen Anzeichen sind die laufenden TCP-Sitzungen auf Firewalls und HTTP-Sitzungen auf Load Balancern.
Das Problem ist so immanent, dass sogar Microsoft und die Azure-Cloud im Juni 2023 Probleme mit einem massiven Slowloris-Angriff hatten.
Und wie immer, wenn ein Angriffsvektor erfolgreich ist und es in die Medien schafft, werden alle anderen Akteure nachziehen. Wir werden also in den nächsten Monaten mehr SlowLoris sehen, denn Layer-7-Angriffe sind im Jahr 2023 ohnehin „DAS DING“.
Viel Spaß beim Fragmentieren.
Quelle: Cybervandals | a Blog on modern DDoS – warfare
References
- WriteUp with technical Details https://github.com/StanGirard/SlowLoris-DDOS-Attack
- Github-Repo with the original Scripts https://github.com/XCHADXFAQ77X/SLOWLORIS
- Wikipedia on Slowloris https://en.wikipedia.org/wiki/Slowloris_(computer_security)
- Cloudflare on Slowloris https://www.cloudflare.com/en-gb/learning/ddos/ddos-attack-tools/slowloris/
- Microsoft admit beeing a victim of a massive slowloris-attack https://msrc.microsoft.com/blog/2023/06/microsoft-response-to-layer-7-distributed-denial-of-service-ddos-attacks/
Fachartikel

Windows 10: Mai-Update führt zu BitLocker-Wiederherstellungsschleife

Advanced NPM Supply-Chain Attack kombiniert Unicode-Steganografie mit Google Kalender als C2-Kanal

Was machen Hacker mit ihrem gestohlenen Geld? Die Antwort überrascht

Dateilose Attacke: PowerShell-Loader schleust Remcos RAT ein

Vorsicht, Bücherwurm! Diese iOS-App plaudert über Ihre Lesegewohnheiten
Studien

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart

IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran

Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper

TeleTrusT legt aktualisiertes Positionspapier „Cyber-Nation“ vor

Sechs entscheidende Tipps für den erfolgreichen Einsatz von cIAM-Lösungen

Wie die Datenverwaltung Wachstum und Compliance fördert

Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025

Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
