Stoppt die Vorratsdatenspeicherung! Jetzt klicken &handeln! Willst du auch an der Aktion teilnehmen? Hier findest du alle relevanten Infos und Materialien:

Niedliche Primaten zwingen Webserver in die Knie

24.06.2009 20:56 in Security

Zunächst mal hoffe ich, dass man mittlerweile wieder über solche Themen schreiben und auf entsprechende Tools verlinken kann, ohne praktisch schon mit einem Bein im Knast zu stehen. Das Bundesverfassungsgericht hat immerhin festgestellt, dass sog. "Hackertools" nicht allein deshalb strafrechtlich relevant sein dürfen, weil man mit ihnen auch Straftaten begehen kann.

Ein solches Tool ist auch das vor kurzem releaste Slowloris, eine fertige Implementierung eines schon 2005 im O'Reilly-Buch "Apache Security" beschriebenen Angriffs. Er basiert darauf, dass ein Client eine größere Anzahl von Verbindungen zu einem Webserver aufbaut und dabei in jeder dieser Verbindungen nie wirklich fertig wird mit dem Senden des vom Server erwarteten Requests. Die Verbindung wird erst nach Erreichen des im Server voreingestellten Timeouts getrennt. Der Apache hat in seiner Standardkonfiguration einen Timeout von 300 Sekunden, d. h. ein Angreifer hat reichlich Zeit, so lange Verbindungen herzustellen, bis der Server keine mehr annimmt. Beim Apache wird diese obere Grenze ja über die Einstellung MaxClients festgelegt.

Wie das Tool genau arbeitet, kann man auf SANS nachlesen. Es wird einfach zuerst ein ordnungsgemäßer Header geschickt, und dann, immer nach jeweils einer gewissen Wartezeit, die Zeichenfolge "X-a: b\r\n". Vorher kann man mit Slowloris auch noch prüfen, wie der Timeout auf dem Zielserver eingestellt ist. Das Tool verwendet diesen Wert zu Optimierungsszwecken, hauptsächlich um den Footprint des Angriffs möglichst gering zu halten.

Ich habe das Tool mit einem der Webserver, für die ich zuständig bin, mal kurz getestet und es funktioniert verdammt gut. Viel zu gut - dafür, dass der Angriff so einfach ist. Aber so ist das ja oft. Ein typisch konfigurierter Apache auf durchschnittlicher Hardware ohne vorgeschaltete Proxys oder Load Balancer dürfte damit jedenfalls in kürzester Zeit dicht sein, selbst wenn der Angriff von einem einzelnen Laptop aus gestartet wurde.

Was kann man also tun?

Die Apache-Leute zerbrechen sich gerade den Kopf darüber, wie man das am besten patcht. Die Diskussion scheint im Moment aber so ein wenig in die Richtung "wir müssen das alles jetzt endlich mal redesignen" abzudriften. Wann der Apache selbst immun gegen diese Attacke sein wird, ist derzeit also eher unklar. Der Proof of Concept-Patch, der im ersten Beitrag des Threads verlinkt ist, funktioniert so, dass bei höherer Serverauslastung automatisch der Timeout dynamisch nach unten angepasst wird. Und umgekehrt, wenn der Server sich von der Load erholt hat. Ich bin jetzt kein Apache-Entwickler, aber habe gewisse Zweifel, ob das die richtige Herangehensweise ist. Wenn der Timeout niedrig genug wird, schlägt der Angriff zwar fehl (kann man auch testen, indem man z. B. mal 5 Sekunden einstellt), aber legitime Clients haben dann ebenfalls diesen niedrigen Timeout, was womöglich in bestimmten Fällen dann auch wieder ein DoS zu Folge hat. Besser wäre es wahrscheinlich, den einzelnen Request anders zu verarbeiten und das Socket schnell wieder zu schließen, wenn nicht genug Daten pro Zeiteinheit reinkommen. Ein paar der Überlegungen im Diskussions-Thread gehen wohl auch so etwas in diese Richtung.

In der Zwischenzeit kann man sich überlegen, ob man nicht einen Reverse Proxy wie nginx vor den Webserver setzt. Mit dem habe ich ganz gute Erfahrungen gemacht, und ich werde demnächst wieder ein Bündel Webserver in noch mehr (virtuelle) Einzelserver auffächern aber dafür dann hinter ein oder zwei nginxen verstecken. Abgesehen davon, dass nginx eben immun gegen den Slowloris-Angriff ist, hat das natürlich noch eine Reihe weiterer Vorteile. Ich möchte mittlerweile eigentlich für jede Webanwendung eine eigene VM betreiben, aber ohne vorgeschalteten Proxy gehen einem da irgendwann die öffentlichen IP-Adressen aus. Falls man statischen Content hat, kann man sich außerdem überlegen, ob man den nicht gleich vom nginx ausliefern lässt. Das kann er in der Regel deutlich schneller als der Apache.

Was das alles jetzt mit Primaten zu tun hat? Slow Lorises (auf Deutsch "Plumploris") sind halt welche. Schon irgendwie süß...

Kommentare (0) - Trackbacks (0)
Tags für diesen Artikel: , ,
(Seite 1 von 1, insgesamt 1 Einträge)



Alle Kategorien

Tags

Beliebte Einträge

Deep Packet Inspection und die Provider (1274)
Löschen statt Sperren! Demobericht mit Bildern aus München (1154)
Kurzanalyse der Stellungnahmen für Netzsperren-Anhörung (1038)
Bilder von Zensursula-Demos verpixeln oder nicht? (1002)
Netzsperren-Umfragen: Reality Check (875)

Kommentare

Jan zu Facebook mit aufgeräumter und werbefreier Oberfläche
Fr, 01.01.2010 16:54
Cooles Addon. So macht FB soga r fast Spaß ;-)
topsy.com zu Facebooks Trojanisches Pferd: Die neuen Privacy-Settings
Do, 10.12.2009 11:04
High Tech Lowlife zu Bilder von Zensursula-Demos verpixeln oder nicht?
Di, 23.06.2009 11:31
Ja, aber wirklich weiterkommen tun wir jetzt auch nicht, ind em wir in den [...]
Robert zu Bilder von Zensursula-Demos verpixeln oder nicht?
Di, 23.06.2009 10:55
Nicht nur, dass eine Demo eine oeffentlich Veranstaltung ist , nein, wenn i [...]
Heiko C. zu Bilder von Zensursula-Demos verpixeln oder nicht?
Di, 23.06.2009 01:17
Hm. Jetzt wo ich deinen Beitra g lese, fällt mir auf, dass ic h als das eine [...]
rxl zu Bilder von Zensursula-Demos verpixeln oder nicht?
Di, 23.06.2009 00:46
Danke für den Artikel! Wir hatten schon immer auf den AK- Vorrat-Demos d [...]
onespromised.wordpress.com zu Löschen statt Sperren! Demobericht mit Bildern aus München
Mo, 22.06.2009 01:00
xxlkillababe.wordpress.com zu Löschen statt Sperren! Demobericht mit Bildern aus München
So, 21.06.2009 20:06
rundguck.wordpress.com zu Löschen statt Sperren! Demobericht mit Bildern aus München
So, 21.06.2009 12:49
High Tech Lowlife zu Deep Packet Inspection und die Provider
So, 21.06.2009 05:31
Nur ein paar Gedanken: Ich bin sicher, dass bereits vieles s eit längerem g [...]
wsdv.wordpress.com zu Löschen statt Sperren! Demobericht mit Bildern aus München
So, 21.06.2009 05:20
Manfred zu Deep Packet Inspection und die Provider
Fr, 12.06.2009 10:45
Es gibt ja auch keine Alternat iven zu den etablierten Anbiet ern. Wird man [...]
Stopp-Seite.de zu Infratest-Umfrage zu Netzsperren (Rant)
Do, 28.05.2009 23:27
Ursula von der Leyen: Kübelwei se KritikBild: Bundesministeri um für Famile, [...]
fernmannblog.wordpress.com zu Von der Leyen äußert sich zu Kritik
Do, 28.05.2009 19:57
www.glueckwunsch-blog.de zu Von der Leyen äußert sich zu Kritik
Mi, 27.05.2009 09:06
Impressum

Creative Commons License - Some Rights Reserved
Der Inhalt dieses Werkes ist lizensiert unter der Creative Commons Lizenz

Archiv

Links

Blogroll

Feeds

Suche

Tweets

Eines, und nur eines, muss ich dem Hamacher lassen: Er verpackt seine marktradikale Ideologie sehr nerdgerecht. #26c3 30.12.2009 01:54
Das frühe Sichanstellen in der Ticketschlange vom #26c3 scheint sich dann doch gelohnt zu haben, auch wenn ca. 1 h gar nix voranging 26.12.2009 21:48
Puuh, mein #ICE zum #26C3 soll wohl ganz normal fahren. Glück gehabt. #bahn #fail http://is.gd/5BtPg 25.12.2009 23:07
Es gibt ja nichts Schöneres, als das Jahr mit einer Hardwarebestellung ausklingen zu lassen. http://is.gd/5p9kx #konsum #weihnachten 15.12.2009 23:52
#facebook mit werbefreier und aufgeräumter Oberfläche (Tipp für #firefox) http://is.gd/5luzQ 13.12.2009 04:19
Seit wann kommt der Heizungsableser bitte am Samstag Nachmittag? #gehtgarnicht #fb 12.12.2009 16:05
Erste Reaktion von #facebook auf Kritik an neuen #datenschutz Features: http://is.gd/5iqJU 10.12.2009 19:18
Aktualisiert: Mein Kommentar zum #datenschutz Update auf #facebook ... http://is.gd/5hiBz #fail 10.12.2009 10:04
Mein Kommentar zu den neuen Privacy-Settings von #facebook ... http://is.gd/5hiBz #datenschutz #fail 09.12.2009 23:43
Friends List und Fan Pages in #facebook jetzt zwangsweise öffentlich? Ihr seid ja wahnsinnig! #fail #datenschutz #fb 09.12.2009 22:34