Slowloris ist ein Perl-Skript, das auf jeder nix-Plattform ausgeführt werden kann.Der Angriff erfolgt durch Einleitung von HTTP-Requests, die nicht abgeschlossen werden. Die permanente Übertragung von HTTP-Headern hat zur Folge, dass die Verbindungen offen bleiben. Die nachstehende Abbildung zeigt den Ablauf eines solchen Requests, wobei der „X-a: b“-Header deutlich zu erkennen ist, den das Tool verwendet.

Der Apache-Webserver reicht Anfragen erst dann an die bearbeitenden Module weiter, wenn sie vollständig sind. Er ist also anfällig für diesen Angriff, da er aktive Verbindungen, die von dem Tool hergestellt wurden, nicht freigibt. Aus demselben Grund können auch keine Apache-Sicherheitsmodule eingesetzt werden.Sobald der Angriff gestartet wurde, hält der Zielserver die hergestellten Verbindungen im Status ESTABLISHED geöffnet. Bereits nach kurzer Zeit ist der Server nicht mehr erreichbar. Dieser Zustand bleibt für die Dauer des Angriffs bestehen.

Am Samstag, 20. Juni, stellte das DARC für DenyAll -Kunden einen Workaround bereit. Dieser Workaround, der auf Paketfilterung und Mechanismen zur Verbindungsbegrenzung basiert, ermöglichte es, Websites vor dem Angriff zu schützen. Am 26. Juni wurde für sämtliche Produkte von DenyAll ein Patch verfügbar gemacht. Nach einer einwöchigen Testphase wurde dieser Patch veröffentlicht. Somit können nun alle Kunden von DenyAll vor diesem Angriff geschützt werden, ebenso wie vor jeglichen Varianten, die auf der gleichen Technik beruhen. Dies ist der erste Patch für Apache-basierte Produkte, der gegen diesen Angriff veröffentlicht wurde. Bislang ist keine offizielle, Apache-native Lösung für dieses Problem verfügbar, da dazu umfangreiche Änderungen in der internen Struktur des Webservers erforderlich sind. Dank der von seinem Research Center durchgeführten Analyse ist DenyAll der einzige Hersteller, der eine Lösung zur Abwehr solcher Angriffe für alle seine produktiven Plattformen veröffentlicht hat. (Dominik Maslo/am)