Slowloris DDoS Attack Nedir ve Nasıl Yapılır?

Slowloris DDoS Attack Nedir ve Nasıl Yapılır?

DDoS Attack (Dağıtılmış Hizmet Reddi), saldırıya uğrayan web kaynağına birden çok istek yollayarak web sitesinin isteği yanıtlama kapasitesini aşarak doğru şekilde çalışmasını engellemeyi amaçlamaktadır. Peki, içlerinde bulunan Slowloris DDoS Attack nedir ve ne işe yarar? Bu sorunun cevabını yeni yazmış olduğum bu blog yazısında bulabilirsiniz. Bu blog yazımda;

  • Slowloris DDoS Attack nedir?
  • Slowloris Attack neden tehlikelidir?
  • Slowloris Attack Nasıl Çalışır?
  • Slowloris DDoS Attack Örneği
  • Slowloris Attack için Alınabilecek Önlemler:
  • Slowloris yazılımına benzer yazılımlar nelerdir? Gibi konulara değindim.

Slowloris DDoS Attack nedir?

Slowloris Attack, Robert ‘RSnake’ Hansen tarafından oluşturulmuş DDoS saldırımı yazılımıdır. Bu yazılım diğer DDoS attack türlerinden farklı olarak tek bir makinenin ağ kaynaklarını minimum bant genişliği kullanarak hedef makinenin web sunucusunu çökertmeye yönelik yavaşlatma saldırısı yapan bir DDoS Attack türüdür. Bu yazılım hedef sunucu ile birçok bağlantı kurmaya çalışır ve uzun süre açık tutmaya zorlar.

Göndermiş olduğu HTTP isteğini hedef sunucuya çok yavaş şekilde gönderip bağlantı kaynaklarını tüketmeye başlar. Bu saldırılardan etkilenen web sunucuları şu şekildedir:

  • Apache 1.x
  • Apache 2.x
  • Dhttpd
  • GoAhead Web sunucusu

Slowloris Attack neden tehlikelidir?

Slowloris Hedef web sunucusu ile “yavaş ve düşük” oyununu oynar. Yüksek hacimli bir web sitesi bile olsa bu saldırılar neticesinde soketlerin serbest bırakılmasını bekler ve hepsini tüketmeye başlar.

Minimum bant genişliği kullandığı için büyük çapta maliyet kaybına uğratmaz. Sadece tek bir bilgisayarın yüksek profilli bir sunucuyu çökertmesine olanak tanır. Bu yazılım, bir saldırı sırasında günlük dosyalarının oluşturulmasını engelleyebilir, bu da izlenmeyen web sunucularını hazırlıksız yakalamayı ve günlük dosyalarının girişinde alarm oluşturmadan geçip gitmeyi mümkün kılar.

2009 yılında Slowloris Attack ilk büyük çaplı eylemini gerçekleştirmiştir. 2009 İran Cumhurbaşkanlığı seçimlerinde bu saldırı kullanılmış, Hükümete ait kullanılan bir dizi web sitesi hedef alınmıştır.

Slowloris Attack Nasıl Çalışır?

Slowloris Attack http isteklerini üzerinden çalışan bir uygulama katmanı saldırısıdır. Hedef sunucu üzerinde bağlantılara açarak bu bağlantıları olabildiğince açık tutmaya çalışır. Düşük miktarda bant genişliği kullanır.

Bir Slowloris Saldırısı 4 adımda gerçekleşir:

1.Adım: Saldırgan hedef web sunucusuna birden çok http istek başlığı gönderir ve birden çok bağlantı açar.

2.Adım: Gönderilen her istek için hedef sunucuda bir iş parçacığı bölümü açılır. Bağlantı uzun sürerse, hedef sunucu uzun bağlantıyı zaman aşımına uğratır ve iş parçacığını bir sonraki gelen istek için serbest bırakır.

3.Adım: Burada saldırgan kısmi http istekleri yollamaya başlar. “Zaman aşımına uğratma, ben buradayım. Sadece yavaş bir şekilde geliyorum.” Mesajını vermek ister.

4.Adım: Hedefteki sunucu, isteğin sonlandırılmasını beklerken kısmi http isteklerinden gelen bağlantıların hiçbirini serbest bırakamaz. Kullanılabilir iş parçacıkları kullanımda olduğunda, normalden gelen ek isteklere yanıt veremez hale gelir. Bu da hizmet reddi saldırısı olduğunun kanıtıdır.

 

Slowloris DDoS Attack Örneği

1- İlk yapılması gereken işlem Slowloris uygulamasını github üzerinden indirmek olacaktır.

Kullanılan komut: “git clone https://githup.com/gkbrk/slowloris.git”

 

 

 

 

 

2- “service apache2 start” komutuyla sunucuyu ayağa kaldıralım ki atağı daha iyi bir şekilde görelim. Daha sonra : service apache2 status” komutuyla durumuna bir göz atalım.

 

 

 

 

 

 

 

 

 

3- İndirmiş olduğumuz slowloris klasörüne gidelim ve “ls” komutuyla içindekilere bakalım.

 

 

 

 

 

 

 

 

4- Uygulamamız python ile yazılmış bir uygulama olduğunu görüyoruz. ” python3 slowloris.py hedef IP adresi –s 500” komutunu çalıştırıyoruz.

 

 

 

 

 

 

 

Gördüğünüz üzere hedef IP adresine yapılan saldırı başarıyla sonuçlanmıştır.

Slowloris Attack için Alınabilecek Önlemler:

Bir Slowloris Attack için alınması gereken önlemler şu maddelerden oluşmaktadır:

  • Web sunucusunun izin vereceği maksimum istemci sayısını arttırmak
  • Tek bir IP adresinden gelecek bağlantı sayısını sınırlamak
  • Bir bağlantıda izin verilen minimum aktarım hızını kısıtlamak
  • Bir istemcinin bağlı kalmasına izin verilen süreyi sınırlandırmak
  • Daha fazla Bant Genişliği satın alma
  • DNS Sunucularına yönelik iyileştirme koruma politikası izleme
  • Anti-DDoS donanım ve yazılım modülleri yükleme

Slowloris yazılımına benzer yazılımlar nelerdir?

Piyasaya çıkmasından bu yana Slowloris Attack işlevini taklit eden programların listesi aşağıda verilmiştir:

  • PyLoris – Tor ve SOCKS proxy’lerini destekleyen, protokolden bağımsız bir Python uygulaması.
  • Goloris – Go ile yazılmış nginx için Slowloris.
  • slowloris – Dağıtılmış Golang uygulaması
  • QSlowloris – Windows üzerinde çalışmak üzere tasarlanmış, bir Qt ön ucu içeren yürütülebilir bir Slowloris biçimi.
  • Bir HTTP sunucusundan çalıştırılabilen adsız bir PHP sürümü.
  • SlowHTTPTest – C++ ile yazılmış, yüksek düzeyde yapılandırılabilir bir yavaş saldırı simülatörü.
  • SlowlorisChecker – Slowloris ve Slow POST POC (Konsept Kanıtı). Ruby’de yazılmıştır.
  • Cyphon – Objective-C ile yazılmış Mac OS X için Slowloris.
  • sloww – Node.js ile yazılmış Slowloris uygulaması.
  • dotloris – .NET Core ile yazılmış Slowloris
  • SlowDroid – Java ile yazılmış, saldırı bant genişliğini minimumda azaltan geliştirilmiş bir Slowloris sürümü.

 

Bu blog yazımda DDoS Attack çeşitlerinden biri olan Slowloris Attack tipinin ne olduğunu, nasıl yapıldığını, alınabilecek önlemleri ve ona benzer yazılımların ne olduğundan bahsettim. Umarım faydalı olmuştur. Keyifli okumalar…

About The Author

Reply