Dat meldt Security.nl naar aanleiding van een blogpost van de ontwerper van Slowloris, de hacktool in kwestie. In die post legt Robert Hansen (RSnake) uit dat de truc van zijn tool is dat deze wel volledige tcp-verbindingen legt, maar vervolgens slechts gedeeltelijke http-aanvragen verstuurt.

De webserver houdt de verbinding in stand in afwachting van de rest van de aanvraag, die nooit zal komen. Daardoor kan die verbinding niet voor nuttige dingen gebruikt worden. Doe dat vaak genoeg, en de webserver krijgt een DoS (denial of service) aan de broek. Verschillende trucs, bijvoorbeeld het gebruik van afwijkende headers, maken een aanval door Slowloris minder snel wordt opgemerkt.

Niet te voorkomen

De aanval buit vooral een ontwerpprobleem in Apache uit, en de open source webserver kent geen instellingen waarmee een Slowloris-aanval voorkomen kan worden. Webmasters kunnen wel het aantal toegestane clients verhogen, zodat er meer tcp-verbindingen worden gelegd. Dat is slechts tijd winnen; die maatregel zorgt er alleen voor dat de tool iets langer bezig is. Het Internet Storm Centre van het SANS-instituut meldt dat het gebruik van een Perlbal reverse proxy een mogelijkheid is om aanvallen af te slaan.

Apache is nog steeds de meest gebruikte webserver ter wereld. De open source-software wordt op afstand gevolgd door IIS (Internet Information Server) van Microsoft. Slowloris heeft op die laatste webserver geen effect, zo laat Hansen weten.

Bron: Techworld.