Cet article a été traduit automatiquement.
Une attaque de Slowloris est remarquablement dangereuse. Les pirates informatiques n'ont pas besoin d'une armée d'ordinateurs ou d'une bande passante importante. Avec un peu de code et un peu de temps libre, ils peuvent mettre un serveur hors service et y maintenir l'informatique.
Comptez chaque élément de cette page web, du logo au pied de page en passant par le titre et les illustrations. Imaginez maintenant que vous demandiez chaque élément individuellement. Enfin, attendez quelques secondes entre chaque demande.
Vous venez d'imaginer une attaque de Slowloris.
Plutôt que de demander tous les éléments d'une page en même temps, les hackers fractionnent leurs commandes. Le serveur ne peut pas répondre à la demande et, à terme, le système informatique tombe en panne.
D'où vient l'attaque de Slowloris ?
Toute page web que vous voyez est rendue par une série de requêtes HTTP. Lors d'une attaque Slowloris, les pirates étendent leurs requêtes et les rendent impossibles à fermer.
Chaque fois que vous visitez un site web, votre navigateur web et un serveur entament une conversation. Vous demandez des éléments sur la page à l'aide d'une commande, et le serveur vous fournit ce que vous avez demandé. Un serveur ne peut ni initier ni clôturer une requête. C'est votre navigateur web qui fait ce travail.
Au milieu des années 2000, un hacker nommé RSnake s'est rendu compte que cette vulnérabilité HTTP pouvait permettre à un hacker travaillant sur une machine de faire tomber tout un serveur web. Et que hacker n'aurait pas besoin d'une grande largeur de bande pour faire fonctionner la technologie de l'information. Slowloris est né.
La technique peut sembler simple, mais elle est remarquablement puissante. En 2009, par exemple, un pirate informatique a utilisé Slowloris pour mettre hors service plusieurs sites web en Iran.
L'objectif de Slowloris est de bombarder un serveur de multiples requêtes. Avec le temps, le serveur a trop de demandes ouvertes et l'informatique s'effondre sous la pression.
Une attaque typique se déroule comme suit :
- Téléchargez le code. Un hacker a besoin d'aide pour faire fonctionner le Slowloris, mais le code est facilement disponible en ligne.
- Ouvrez la connexion. Le site hacker envoie de nombreuses requêtes HTTP partielles. La cible ouvre un fil de discussion pour chaque demande.
- Faites une pause dans la conversation. L'attaquant allonge les réponses, renvoyant une mise à jour juste assez souvent pour maintenir la connexion ouverte.
- Ouvrez plus de connexions. Si le serveur continue de répondre, le site hacker envoie d'autres demandes.
Les serveurs ne peuvent pas gérer un nombre indéfini de conversations. À un moment donné, ils s'effondreront sous la pression des demandes multiples et ouvertes. Cette attaque par déni de service attaque par déni de service dure jusqu'à ce que le serveur mette fin à la conversation.
Si vous ne l'attrapez pas, une attaque de Slowloris peut durer indéfiniment. Et ces problèmes sont difficiles à repérer. Le trafic peut sembler lent, mais les technologies de l'information ont l'air suffisamment normales pour échapper à un terminal de détection. Les paquets n'auront pas l'air malformés. Elles sont simplement incomplètes.
Certains serveurs web, dont Apache et Microsoft IISsont particulièrement vulnérables à Slowloris.
Pouvez-vous prévenir une attaque de Slowloris ?
Les demandes HTTP sont des éléments de base. Vous devez les accepter, sinon tous vos actifs basés sur le web ne fonctionneront pas pour vos employés ou vos clients. Tout système fonctionnant en ligne présente une certaine vulnérabilité aux attaques de Slowloris.
Mais il existe des mesures d'atténuation, notamment :
- Serveurs proxy. Placez un outil devant vos serveurs vulnérables pour traiter les demandes de ce type. Une procuration pourrait vous faire gagner du temps pendant que vous vous défendez.
- Améliorations. Examinez votre configuration et permettez à votre serveur d'accepter davantage de connexions.
- Limites. Limitez le nombre de connexions que vous autorisez à partir d'une adresse IP et utilisez une minuterie pour interrompre les demandes qui prennent trop de temps.
- Restrictions. N'autorisez pas les connexions de transfert lentes vers votre serveur.
Malgré vos efforts, vous risquez de subir au moins une attaque de Slowloris. Si c'est le cas, réinitialisez toutes vos connexions et contactez immédiatement votre fournisseur d'hébergement. Il se peut que vous deviez réinitialiser rapidement vos préférences afin de limiter la durée d'indisponibilité de votre site.
Okta peut vous aider
Nous savons que le simple fait de penser à un site web en panne vous rend nerveux, effrayé et en colère. Une bonne attaque vaut mieux qu'une défense bien planifiée. Travaillez avec une entreprise qui a des années d'expérience dans la lutte contre les menaces. Contactez Okta et voyez comment nous pouvons vous aider.
Références
Vue d'ensemble du protocole HTTP. (Février 2021). Mozilla.
DoS HTTP de Slowloris. (avril 2015). Ha.Ckers.
Slowloris et attaque iranienne DDoS. (juin 2009). InfoSec.
Réalisation d'une véritable attaque Slowloris (SlowHTTP) de longueur indéfinie dans Kali Linux. (juin 2019). Notre monde de code.
Slowloris (Sécurité informatique) : L'ennui d'un serveur. (juin 2019). Dev.
