Glossar / Slowloris

Slowloris

  • Fabian Sinner
  • Dezember 4, 2024

Inhalt

Slowloris

Slowloris ist eine Art DDoS-Attacke, bei dem der Angreifer versucht, einen Webserver durch das Halten mehrerer gleichzeitiger Verbindungen zu überlasten. Der Angriff funktioniert, indem der Angreifer eine Verbindung zum Server öffnet und eine HTTP-Anfrage sendet, diese aber absichtlich unvollständig macht. Der Server wartet darauf, dass die Anfrage vollständig wird, und behält die Verbindung offen.

Da der Server eine begrenzte Anzahl von gleichzeitigen Verbindungen verarbeiten kann, füllt der Slowloris-Angriff diese Verbindungen langsam auf, bis keine neuen Verbindungen mehr akzeptiert werden können. Dadurch wird der Server für legitime Anfragen unzugänglich, ohne dass er vollständig abstürzt oder deutlich erkennt, dass ein Angriff stattfindet.

Wie funktioniert eine Slowloris-Attacke?

Ein Slowloris-DDoS-Angriff funktioniert, indem er einen Webserver mit halboffenen Verbindungen überflutet, was die Ressourcen des Servers erschöpft, ohne große Mengen an Bandbreite zu nutzen.

  1. Verbindungseröffnung:

Der Angreifer stellt eine Verbindung zu einem Webserver her und beginnt eine normale HTTP-Anfrage. Beispielsweise sendet er die Kopfzeile „GET / HTTP/1.1“, die normalerweise den Server auffordert, eine Webseite zu laden.

  1. Anfrage bleibt unvollständig:

Anstatt die Anfrage schnell abzuschließen, sendet der Angreifer die restlichen HTTP-Header sehr langsam und stückweise. Jede neue Header-Zeile wird in sehr langen Zeitabständen (z. B. alle paar Sekunden) gesendet, um den Webserver beschäftigt zu halten.

  1. Server hält die Verbindung offen:

Der Server wartet darauf, dass die gesamte HTTP-Anfrage vollständig empfangen wird, bevor er eine Antwort sendet. Da die Anfrage unvollständig bleibt, hält der Server die Verbindung offen und reserviert Ressourcen, um auf die vollständige Anfrage zu warten.

  1. Mehrere Verbindungen werden geöffnet:

Der Angreifer wiederholt diesen Prozess viele Male, indem er mehrere halboffene Verbindungen gleichzeitig aufrechterhält. Da Webserver eine begrenzte Anzahl von gleichzeitigen Verbindungen verarbeiten können, führen diese halboffenen Verbindungen dazu, dass der Server seine Kapazität erreicht und neue Verbindungen (einschließlich legitimer Verbindungen) ablehnen muss.

  1. Serverüberlastung:

Sobald der Server die maximale Anzahl an Verbindungen erreicht hat, ist er nicht mehr in der Lage, neue Anfragen zu bearbeiten. Dies führt dazu, dass der Server für legitime Benutzer nicht mehr zugänglich ist, obwohl er technisch gesehen weiterhin läuft. Im Gegensatz zu anderen Arten von DoS-Angriffen wird hier nicht viel Bandbreite oder Rechenleistung verbraucht.

Was sind die Ziele einer Slowloris-Attacke?

Die Ziele eines Slowloris-Angriffs lassen sich vor allem in Bezug auf die Funktionsweise und Auswirkungen des Angriffs erklären. Im Wesentlichen zielt ein Slowloris-Angriff darauf ab, die Verfügbarkeit eines Webservers zu beeinträchtigen, ohne große Ressourcen oder Bandbreite zu nutzen.

Denial of Service (DoS) – Blockieren der Serververfügbarkeit:

Das primäre Ziel eines Slowloris-Angriffs ist es, die Ressourcen eines Webservers so stark zu beanspruchen, dass er keine weiteren Verbindungen von legitimen Benutzern mehr akzeptieren kann. Der Angreifer erreicht dies, indem er den Server mit vielen halboffenen Verbindungen „verstopft“, sodass neue Verbindungen abgelehnt werden müssen. Dies führt zu einem Denial of Service (DoS), wodurch der Server zwar weiterhin läuft, aber nicht mehr in der Lage ist, auf echte Anfragen zu reagieren.

Serverressourcen erschöpfen:

Der Angriff zielt darauf ab, die Ressourcen des Webservers zu überlasten, insbesondere die Verarbeitungsressourcen (wie CPU und Speicher), indem der Server gezwungen wird, viele halboffene Verbindungen aufrechtzuerhalten. Dies kann zur Folge haben, dass der Server instabil wird oder die Leistung stark beeinträchtigt wird.

Unauffälliger Angriff:

Ein weiteres Ziel einer Slowloris-DDoS-Attacke ist es, den Angriff möglichst unauffällig durchzuführen. Da Slowloris nur eine geringe Bandbreite und langsame Anfragen verwendet, bleibt der Angriff oft unbemerkt, insbesondere im Vergleich zu traditionellen DDoS-Angriffen, die durch massive Datenmengen auffallen. So können Angreifer die Serverressourcen stillschweigend erschöpfen, ohne dass sofort klar ist, dass ein Angriff stattfindet.

Gezielter Angriff auf bestimmte Dienste:

Slowloris zielt oft auf bestimmte Dienste ab, die besonders anfällig für diese Art von Angriff sind, z.B. Webserver wie Apache, die Verbindungen lange offen halten. Der Angriff konzentriert sich auf einzelne Server oder Services, ohne das gesamte Netzwerk oder andere Infrastrukturkomponenten zu beeinträchtigen.

Geringer Aufwand für den Angreifer:

Ein weiteres Ziel für den Angreifer ist es, mit minimalem Aufwand eine maximale Wirkung zu erzielen. Da Slowloris nur wenig Bandbreite erfordert und keine massive Infrastruktur für den Angriff benötigt, können selbst Einzelpersonen mit einfachen Mitteln solche Angriffe durchführen.

Verursachen wirtschaftlicher Schäden:

Der Angriff kann den Betrieb einer Website oder eines Webdienstes unterbrechen, was insbesondere für kommerzielle Websites (z. B. Online-Shops, Finanzdienstleister) zu erheblichen wirtschaftlichen Verlusten führen kann. Selbst kurze Ausfallzeiten können das Vertrauen der Kunden beeinträchtigen und zu Umsatzeinbußen führen.

Testen der Sicherheitslücken:

Ein Angreifer kann einen Slowloris-Angriff auch dazu nutzen, die Sicherheit eines Webservers zu testen. Wenn der Server anfällig für Slowloris ist, deutet dies auf unzureichende Sicherheitskonfigurationen hin. Der Angreifer kann so Schwachstellen identifizieren, die später für andere Arten von Angriffen ausgenutzt werden können.

Präzise Erkennung & blitzschnelle Mitigation

Erfahren Sie mehr über eine DSGVO-konforme, cloud-basierte und patentierte DDoS Protection, die hält, was sie verspricht.

Jetzt schützen

Wie kann man sich vor Slowloris schützen?

Um sich vor einem Slowloris-Angriff zu schützen, gibt es mehrere Maßnahmen, die sowohl auf der Ebene der Serverkonfiguration als auch durch Netzwerkschutzmechanismen umgesetzt werden können. Eine wichtige Schutzmaßnahme besteht darin, die Anzahl der gleichzeitigen Verbindungen pro IP zu begrenzen. Dies verhindert, dass eine einzelne IP-Adresse zu viele Verbindungen offen hält. Darüber hinaus kann es sinnvoll sein, die Timeout-Zeiten für Verbindungen zu reduzieren, um langsame oder unvollständige Anfragen schneller abzulehnen. Auch eine Verringerung der Keep-Alive-Timeouts trägt dazu bei, dass Ressourcen schneller freigegeben werden und der Server nicht überlastet wird.

Auf Netzwerkschutzebene spielen Firewalls und Rate-Limiting eine zentrale Rolle. Eine Firewall kann so konfiguriert werden, dass sie die Anzahl gleichzeitiger Verbindungen pro IP-Adresse begrenzt und ungewöhnlich langsame oder wiederholte Anfragen blockiert. Der Einsatz von Reverse Proxies und Load-Balancern ist eine weitere effektive Methode zum Schutz vor Slowloris-Angriffen. Diese Systeme agieren als Puffer zwischen dem Webserver und den eingehenden Verbindungen und schließen unvollständige Verbindungen schneller. Reverse Proxies können zudem den Traffic verteilen, sodass einzelne Server nicht überlastet werden.

Auch spezielle Servermodule können helfen, Slowloris-Angriffe abzuwehren. Für Apache-Server kann das Modul mod_reqtimeout verwendet werden, um Zeitlimits für eingehende Anfragen festzulegen und langsame Verbindungen frühzeitig zu beenden. Ebenso lassen sich bei Nginx entsprechende Einstellungen vornehmen, um verdächtige Anfragen zu erkennen und zu blockieren.

Der Einsatz von Content Delivery Networks (CDNs) bietet zusätzlichen Schutz, da CDNs den Traffic auf mehrere Server weltweit verteilen und dadurch Angriffe abschwächen können. Diese Netzwerke wirken als Puffer und filtern schädliche Anfragen heraus, bevor sie den eigentlichen Webserver erreichen.

Ein weiterer Schutzmechanismus besteht in der kontinuierlichen Überwachung des Servers. Mithilfe von Monitoring-Tools lassen sich ungewöhnliche Verbindungsaktivitäten schnell erkennen. So können plötzliche Anstiege in der Anzahl halboffener Verbindungen frühzeitig bemerkt und entsprechende Gegenmaßnahmen eingeleitet werden. Die regelmäßige Überprüfung der Log-Dateien hilft dabei, verdächtige Aktivitäten rechtzeitig zu identifizieren und zu stoppen.

Durch die Kombination dieser Maßnahmen lässt sich der Schutz vor Slowloris-Angriffen deutlich erhöhen und die Wahrscheinlichkeit verringern, dass ein Server Opfer eines solchen Angriffs wird.

Bewährter Schutz gegen solche Angriffe

Sind Sie auf der Suche nach einem verlässlichen Schutz gegen Slowloris? Dann sind Sie bei unseren Sicherheitsexperten genau richtig, die mit Ihnen zusammen die ideale Lösung für Ihren spezifischen Fall finden.

Jetzt kontaktieren >>

Künstliche Intelligenz: Game-Changer in der Cybersicherheit
DDoS-Schutz von Link11 für Schweizer Service-Provider Litecom
X