Dat meldt Security.nl naar aanleiding van een blogpost van de ontwerper van Slowloris, het hacktooltje in kwestie. In die post legt Robert Hansen (RSnake) uit dat de truc van zijn tool is dat deze wel volledige tcp-verbindingen legt, maar vervolgens slechts gedeeltelijke http-aanvragen verstuurt. De server houdt de verbinding in stand in afwachting van de rest van de aanvraag, die nooit zal komen, waardoor deze niet voor nuttige dingen gebruikt kan worden. Doe dat vaak genoeg, en de server krijgt een DoS aan de broek. Verschillende trucs, bijvoorbeeld het gebruik van afwijkende headers, maken een aanval door Slowloris minder snel wordt opgemerkt.

De aanval buit vooral een ontwerpprobleem in Apache uit, en de open source webserver kent geen instellingen waarmee een Slowloris-aanval voorkomen kan worden. Je kunt het aantal toegestane clients verhogen, zodat er meer tcp verbindingen worden gelegd, maar dat maakt dat de tool alleen iets langer bezig is. Het Internet Storm Centre van het SANS-instituut meldt dat het gebruik van een Perlbal reverse proxy een mogelijkheid is om aanvallen af te slaan.

Apache is nog steeds de meest gebruikte webserver van allemaal, op afstand gevolgd door IIS van Microsoft. Slowloris heeft op die laatste webserver geen effect, zo laat Hansen weten. Bron: Techworld