“L’attacco HTTP DoS di tipo slow headers consiste nell’invio di un numero molto elevato di richieste di connessione, a cui da parte del client non segue nessun invio di dati. Apache rimane in attesa di poter servire una richiesta, che però non arriverà mai. In questo modo è possibile portare il demone al collasso con l’invio di migliaia di richieste HTTP senza scambio di dati.”
Questo tipo di tecnica è racchiusa all’interno del tool slowloris. Con questo piccolo script perl è possibile annichilire un’installazione di Apache, a meno di non essere adeguatamente protetti.
Esistono due tipi di contromisure agli attacchi di tipo slowloris. La prima è l’installazione del modulo mod_antiloris per Apache, che abbiamo visto in un post apparso tempo fa su questo blog. La seconda soluzione consiste nell’utilizzo di una nuova funzionalità contenuta in mod_security2 all’interno della versione 2.5.13.
La direttiva SecReadStateLimit consente di specificare un limite al numero di richieste in attesa di essere servite da Apache che ogni client può aprire. Per attivare la limitazione e” sufficiente inserire la direttiva all’interno del file di configurazione /etc/apache2/mods-enabled/mod_security2.conf e riavviare Apache. Mod_security si occuperà di bloccare le richieste che superino tale limitazione, rendendo l’installazione di Apache immune da slowloris :
ModSecurity: Access denied with code 400. Too many threads [11] of 10 allowed in READ state from xx.xx.xx.xx - Possible DoS Consumption Attack [Rejected] ModSecurity: Access denied with code 400. Too many threads [11] of 10 allowed in READ state from xx.xx.xx.xx - Possible DoS Consumption Attack [Rejected] ModSecurity: Access denied with code 400. Too many threads [11] of 10 allowed in READ state from xx.xx.xx.xx - Possible DoS Consumption Attack [Rejected] ModSecurity: Access denied with code 400. Too many threads [11] of 10 allowed in READ state from xx.xx.xx.xx - Possible DoS Consumption Attack [Rejected] ModSecurity: Access denied with code 400. Too many threads [11] of 10 allowed in READ state from xx.xx.xx.xx - Possible DoS Consumption Attack [Rejected]
