Vi serve il cloud computing? Iniziate subito

Che cos'è un attacco DDoS Slowloris?

Analisi degli attacchi DDoS Slowloris

Un attacco DDoS Slowloris è un attacco di tipo Distributed Denial of Service mirato al livello 7 del modello OSI. Questo tipo di abuso informatico è stato progettato per sovraccaricare un singolo computer, server web, database o API stabilendo e mantenendo simultaneamente più connessioni TCP a un FQDN designato e generando richieste HTTP a basso volume e velocità ridotta per ogni sessione connessa. Alcuni IP utilizzati per l'attacco eseguiranno un elevato numero di tentativi di connessione TCP e utilizzeranno tutte le connessioni o sessioni aperte, combinando le richieste in entrata nell'intento di esaurire le risorse dell'applicazione o database. Proprio come il lori lento (un primate originario dell'Asia che si muove molto lentamente), un attacco Slowloris può durare a lungo se riesce a rimanere nascosto. Gli attacchi Slowloris sono stati introdotti nell'uso convenzionale mediante framework di strumenti di attacco comuni, come HOIC (High Orbit Ion Cannon) e LOIC (Low Orbit Ion Cannon), utilizzati dal gruppo Anonymous, dal governo iraniano, da Killnet e da altri gruppi di criminali informatici. Oggi, queste stesse tecniche vengono sfruttate da altri criminali, ma con infrastrutture, comandi e controlli modernizzati.

Qual è lo scopo di un attacco DDoS Slowloris?

Questo tipo di attacco DDoS adotta un metodo semplice ma elegante in base al quale l'aggressore è in grado di mandare giù un server web con un livello di complessità molto bassa. Ciò che rende complesso questo attacco è l'incapacità di identificare gli attacchi e di controllare la qualità della mitigazione. Un attacco Slowloris può essere implementato con una larghezza di banda minima, è di solito scritto in Python e si è dimostrato estremamente efficace su molti tipi di software per server web, in particolare Apache 1.x e 2.x. Questa tipologia di attacco è stata progettata in modo che le richieste risultino legittime e riescano a eludere i filtri di mitigazione. 

A differenza degli attacchi DDoS basati su tecniche di riflessione e ad ampio consumo di larghezza di banda, Slowloris assorbe le risorse del server inviando richieste HTTP che sembrano più lente del solito, ma che comunque risultano come traffico conforme agli standard. I malintenzionati sfruttano una funzionalità esclusiva del protocollo HTTP cioè la capacità del client di suddividere le richieste HTTP GET o POST in più pacchetti o sessioni. Utilizzano quindi Slowloris per mirare ai server web, aprendo più connessioni e mantenendole aperte il più a lungo possibile. Questo risultato viene ottenuto distribuendo le richieste HTTP tra diverse botnet di indirizzi IP a livello globale e tramite il multithreading TCP per ciascuna origine. Per mantenere aperta la connessione, il software Slowloris può inviare intestazioni HTTP per ogni richiesta poco prima del timeout della connessione, provocando il denial of service. Alla lunga, il server designato raggiunge il limite del pool di connessioni simultanee e non è più in grado di elaborare altre richieste, negando di fatto l'accesso ad altri servizi legittimi. Altre infrastrutture di rete possono subire attacchi DDoS Slowloris, ad esempio LTM (Local Traffic Manager) o altre tecnologie che gestiscono le sessioni TCP.

Perché gli attacchi DDoS Slowloris sono efficaci?

Un attacco DDoS Slowloris è considerato un denial of service distribuito e può rimanere nascosto ai tradizionali sistemi di rilevamento delle intrusioni inviando pacchetti di richieste HTTP legittime caratterizzate da basse velocità al secondo anziché da alti volumi e alte velocità. Inoltre, poiché il file di registro non può essere scritto finché la richiesta non viene completata, Slowloris è in grado di immobilizzare un server a lungo senza che nel file di registro venga visualizzata alcuna voce che allerti qualcuno che possa intervenire con controlli.

In cosa differisce un attacco DDoS Slowloris da un attacco DDoS tradizionale?

Gli attacchi DDoS tradizionali sono progettati per causare il down di un server, sovraccaricandolo con enormi quantità di richieste HTTP che richiedono un uso intensivo di risorse da parte dell'autore dell'attacco. Un attacco Slowloris, invece, potrebbe richiedere solo poche centinaia di richieste eseguite a intervalli lunghi e regolari e a bassa velocità, anziché decine di migliaia di richieste continuative. La larghezza di banda non è una misura efficace per il rilevamento di questa tipologia di attacchi DDoS. Per contro, i team addetti alla sicurezza devono invece valutare il numero standard di tentativi di connessione, connessioni aperte, pool di connessione, richieste HTTP in entrata, richieste HTTP parziali, numero massimo di connessioni consentite per ciascun indirizzo IP di origine, bilanciatori del carico che mantengono tabelle di sessione, infrastruttura di registrazione del server web e altri percorsi di rete o di sistema nell'intera infrastruttura DMZ.

Qual è il modo migliore per bloccare un attacco Slowloris?

Gli attacchi Slowloris possono essere mitigati nei seguenti modi:

  • Limitando il numero di connessioni che un singolo indirizzo IP può richiedere.

  • Aumentando la velocità minima di trasferimento consentita per le connessioni.

  • Limitando la finestra temporale nella quale un client può rimanere connesso.

  • Aumentando il numero massimo di client consentiti dal server.

  • Distribuendo servizi cloud di mitigazione efficaci, configurando solidi sistemi di bilanciamento del carico, utilizzando firewall WAF (Web Application Firewall) o altre tecniche di patch virtuali e limitando il numero di richieste per origine, in base alla velocità.

Come viene eseguito un attacco Slowloris?

Un attacco Slowloris viene eseguito in quattro fasi:

  • L'aggressore invia istruzioni di comando e controllo alla botnet o ai proxy inversi che a loro volta inviano richieste HTTP multiple, intestazioni randomizzate e altre tecniche di elusione, aprendo contemporaneamente più connessioni a un server di destinazione dalle loro reti globali.

  • Il server destinato apre una connessione TCP per ogni richiesta, pianificando la chiusura del thread nel momento in cui la richiesta HTTP viene completata. Il server esegue quindi il timeout delle connessioni eccessivamente lunghe per liberare il thread per richieste successive.

  • Per evitare il timeout dei thread, il malintenzionato invia intestazioni di richiesta parziali o richieste HTTP aggiuntive in modo intermittente, per mantenere attivo il server web e fare in modo che attenda il completamento della richiesta HTTP.

  • Nell'attesa che altre richieste HTTP e connessioni TCP vengano avviate, il server di destinazione esaurisce le connessioni disponibili e non è più in grado di rispondere alle richieste di traffico legittimo, con conseguenti denial of service.

Perché si verificano gli attacchi DDoS Slowloris?

I cybercriminali possono sferrare un attacco per abbattere il sito web di un rivale o un nemico, come parte di una campagna di hacktivismo politico o per spostare l'attenzione su altre violazioni della sicurezza più pericolose, utilizzandoli come cortina di fumo. Questo tipo di attacco viene diffusamente utilizzato perché è difficile identificarne la firma e il tasso di abuso. Implementare la mitigazione per questo tipo di attacchi può portare a tassi elevati di falsi positivi e influire sulla experience dell'utente che accede ai vari moduli del server web o applicazione web.

Akamai vi consente di aumentate la vostra resilienza per combattere le complesse minacce DDoS

Con la piattaforma di computing più distribuita al mondo, dal cloud all'edge, Akamai semplifica lo sviluppo e l'esecuzione delle applicazioni, avvicinando la experience agli utenti e allontanando le minacce. Insieme alle soluzioni di computing e delivery, la nostra suite di prodotti per la sicurezza IT, leader nel settore, aiuta le aziende globali a migliorare la vita di milioni di persone, miliardi di volte, ogni giorno.

Le nostre soluzioni per la sicurezza prevengono e mitigano gli attacchi DDoS attraverso una mesh trasparente di edge dedicato, DNS distribuito e difese dello scrubbing su cloud. Appositamente studiate per il cloud, queste soluzioni sono pensate per ridurre la superficie di attacco, migliorare la qualità della mitigazione, ridurre i falsi positivi e migliorare l'efficacia delle difese. Le nostre capacità, l'esperienza e il nostro stack tecnologico diversificato e maturo consentono ai nostri clienti di fare affidamento sulla disponibilità totale e continua della nostra piattaforma e sui nostri SLA, leader del settore.

App & API Protector offre un set olistico di potenti sistemi di protezione, incentrati sul cliente per offrire il massimo livello di automazione. Offrendo alcune delle funzionalità di automazione più sofisticate presenti oggi sul mercato della sicurezza, questa soluzione rimane comunque semplice da utilizzare. Un nuovo motore di sicurezza adattiva e tecnologie leader del settore offrono protezione dagli attacchi DDoS, sicurezza delle API, mitigazione dei bote una soluzione WAF (Web Application Firewall) in un prodotto facile da usare. 

Prolexic blocca gli attacchi DDoS con la difesa più rapida ed efficace su larga scala. Con uno SLA immediato per la difesa dagli attacchi DDoS, Prolexic riduce proattivamente gli attacchi e consente di personalizzare i controlli di mitigazione sul traffico di rete per bloccarli all'istante. Il centro SOCC completamente gestito completa i vostri programmi di cybersicurezza esistenti e vi aiuterà a migliorare i tempi di risoluzione dei problemi grazie alla sua consolidata esperienza nel settore.

Web Application Protector protegge efficacemente applicazioni web e API rilevando le minacce con l'intelligenza crowdsourcing. La protezione dinamica e l'apprendimento automatico riducono gli sforzi e i falsi positivi. Questa soluzione Akamai garantisce la mitigazione immediata degli attacchi DDoS e risponde agli attacchi a livello di applicazione in pochi secondi.

Edge DNS previene le interruzioni del DNS con la piattaforma edge più grande del mondo, consentendo alle organizzazioni di fare affidamento sulla totale continuità del servizio. Soluzione basata su cloud, Edge DNS garantisce 24 ore su 24 e 7 giorni su 7 la disponibilità del DNS, migliorando la velocità di risposta e assicurando la protezione dagli attacchi DDoS più aggressivi.

Perché i clienti scelgono Akamai

Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.

Prodotti correlati


Prolexic

Bloccate gli attacchi DDoS con la difesa più rapida ed efficace, su larga scala.


Edge DNS

Affidatevi a un DNS altamente sicuro per una disponibilità ininterrotta di API e app web.


App & API Protector

Sicurezza centralizzata senza compromessi per siti web, applicazioni e API.


Risorse aggiuntive


Difesa dagli attacchi DDoS nel cloud ibrido

eBook Difesa dagli attacchi DDoS nel cloud ibrido

Non tutte le soluzioni di mitigazione degli attacchi DDoS sono progettate in modo uguale. Scoprite come molti provider di servizi cloud non si rivelano all'altezza e cosa cercare.


Gli attacchi DDoS nell'area EMEA nel 2024

La nostra ricerca più recente vi fornisce le informazioni necessarie per difendervi meglio dal crescente numero di attacchi DDoS nell'area EMEA.


Cosa può rivelare un'analisi del traffico DNS dannoso sull'esposizione ai rischi di un'organizzazione?

L'autostrada degli attacchi: l'analisi C2 mostra gli autori degli attacchi contro le aziende

Anche se è una delle infrastrutture Internet più antiche, il DNS registra comunque un notevole traffico relativo agli attacchi. Scoprite di più sulle minacce più comuni e su molti altri argomenti in questo rapporto.


Pagine correlate

Scoprite ulteriori informazioni sugli argomenti correlati e sulle tecnologie nelle pagine elencate di seguito.

Scoprite tutte le soluzioni per la sicurezza di Akamai