«

»

9月 04

SlowlorisっていうApacheにDoS攻撃できるツールあったよね。え?まだ対策してないの?

負荷対策とともにDoS攻撃対策モジュールを調べようと検索していたら、なんだか懐かしい言葉が引っかかりました。

 

「Slowloris(スローロリス)」

Google画像検索をかけると、なんだか可愛らしいリス…?のような写真が一杯ひっかかります(リスではなく猿だそうです)。

この攻撃ツール懐かしいなあ、どんな仕様だっけ…?

 

おー、Google画像検索してみたら、かわいーねー。

Slowloris HTTP DoSのトップページも、かわ…

Slowloris HTTP DoS Logo

Slowloris HTTP DoS Logo

…かわいくなかった(笑)

 

さてどのくらい昔の話だったかなぁ、と思って探してみました。

「Apacheに新たな脆弱性発見」@slashdot.jp 2009/06/23

 

ふーん、もう3年以上前の脆弱性なんだね。

じゃーもう対策されているだろうから、気にする必要ないよな。

 

 

まあ試してみよう。

えーっと、Slowloris HTTP DoS のページから、そのプログラムを落としてきて…

えーとなになに

Apacheその他が対象、IISは対象外…と。

プログラム本体はPerlスクリプト1つだけ、と。

 

Perlのモジュール

  • IO::Socket::INET
  • IO::Socket::SSL
  • Getopt::Long

が必要とのことだったので、攻撃を「かける側」のサーバに導入します。

[root@attacker]# perl -MCPAN -e 'install IO::Socket::INET'
[root@attacker]# perl -MCPAN -e 'install IO::Socket::SSL'
[root@attacker]# perl -MCPAN -e 'install Getopt::Long'

 

準備ができた…じゃ、攻撃対象はまぁ、このブログそのものにしてみよう。

3年前の脆弱性だからなんもならないだろうな。

 

[root@attacker]# perl slowloris.pl -dns code.zobe.jp -port 80

↑そのまま使わないでね。うちのサーバが泣いちゃうから。

 

 

そしておもむろにブラウザを立ち上げ、http://code.zobe.jp/ と入力。

 

 

 

…あれ?応答ないよ!?

ブラウザが、サーバからの応答を待ち続ける様子

サーバから返事がなかなか来ません

 

…いや、応答なくはないんだけど…接続はできているんだけど…なにこれ、返事が異常に遅いの!?

あ、だからスローロリスなわけ!?そっかぁ~(笑)

17分も待たされたという記録

17分も待っていないとページがみれないよー

 

うーん、サーバのnetstatでも眺めてみよう…

[root@code.zobe.jp]# netstat -an | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq -c | sort -r | head -n 50

    596 192.168.256.257 (←このサーバ自身)
    591 256.257.258.259 (←これ攻撃元)
     44 0.0.0.0
      5 127.0.0.1

 

うわー…ぜんぜん防衛できてないじゃん(笑)

 

続く

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次の HTMLタグおよび属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>