Slow-Rate: Slowloris 공격 실습

2022. 7. 8. 15:24·보안/인프라

Slowloris 공격

- 한대의 컴퓨터에서 Slow-Rate 공격 기법을 이용하여 웹서버를 다운시키는 공격 도구

-HTTP Flood의 유형

- Apache 1.x, 2.x에서 효과적

- 여러 세션을 길게 유지하여 연결 가능한 세션 수를 초과시켜 정산 연결을 할 수 없도록 하는 공격

- HTTP Request 헤더를 불완전 전송하여 완전한 패킷이 올 때까지 세션 연결을 유지함.

- GET 방식을 이용한 공격

 

 

HTTP 메세지의 헤더와 바디는 개행문자 2번으로 구분됨.
=> /0d/0a/0d/0a
그런데 개행을 2번 쓰는게 아니라 의도적으로 1번만 쓰고 전달하면..  웹 서버는 
"어라 아직 헤더 올게 남았나보다"
하고 세션 연결을 유지한다.

이렇게 최대 동시 연결 풀을 채우는 것.

 

 

평화로워야 할 CentOS 7.6 (희생자)

아주 난리가 났다.

 

와이어샤크로 분석을 해보자

- 3 way handshake 연결 진행

- 이후 GET 방식으로 계속 뭘 보내. 보면 헤더 부분만 조금씩 바꾸어가며 전송하고 있다.

첫 번째 GET 방식 전송 패킷.

위 사진을 보면 마지막이 /0d /0a인 것을 확인할 수 있다.

헤더가 끝났다면 /0d /0a /0d /0a일텐데.. 개행 하나뿐이니 더 올 헤더가 남아있다고 생각하는 웹서버.

 

두 번째 GET 방식 전송 패킷

그 다음의 get 방식으로 전송된 패킷을 보면.. /0d /0a이다.

세번째도 네번째도 앞으로도 쭉 이렇다.

 

헤더의 내용은 미세하게 다름.

 

웹 서버는 /0d/0a/0d/0a를 받을 때까지 세션 연결을 유지하는 것.


Slowloris 공격 대응 방안

1. Session Timeout 설정

- 웹 서버에서 클라이언트와 Timeout 설정 값을 조절하여 일정시간동안 Session을 유지하고 있는 요청을 차단하는 설정

2. 시그니처 차단

- GET 요청의 개행 문자가 두번 반복되지 않고 한번만 표시되는 패킷을 시그니처로 등록하여 차단한다.

 

저작자표시 (새창열림)

'보안 > 인프라' 카테고리의 다른 글

네트워크 보안 제품 구성 모드 (In-line, Mirroring, Proxy)  (0) 2022.07.30
TCP 통신 기반 DoS 공격 실습  (0) 2022.07.08
Slow-Rate: TorsHammer 공격 실습  (0) 2022.07.08
PPS based Flooding (TCP Flag)  (0) 2022.07.08
ARP Spoofing 실습  (0) 2022.07.08
'보안/인프라' 카테고리의 다른 글
  • 네트워크 보안 제품 구성 모드 (In-line, Mirroring, Proxy)
  • TCP 통신 기반 DoS 공격 실습
  • Slow-Rate: TorsHammer 공격 실습
  • PPS based Flooding (TCP Flag)
병뚜
병뚜
열정!
  • 병뚜
    열려라 뚜껑
    병뚜
  • 전체
    오늘
    어제
    • all (372)
      • 일상X사랑X돈 (0)
        • 보안이슈 (114)
        • 뜨거운감자 (9)
        • 맛집 (2)
        • 혼잣말 (16)
      • 보안 (87)
        • 웹·모바일 (46)
        • 인프라 (19)
        • 리버싱 (8)
        • Security-Gym (10)
        • 리뷰 (4)
      • 프로그래밍 (66)
        • python (14)
        • java (12)
        • js (40)
      • System (47)
        • OS (14)
        • 침투 (33)
      • Play (20)
        • wargame (20)
      • 기타 (10)
  • 블로그 메뉴

    • 홈
    • 태그
    • 방명록
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    혼공파
    뉴스요약
    자바스크립트 상속
    리버싱
    혼자공부하는파이썬
    랜섬웨어
    파이썬
    혼공
    파이썬초보
    windows internals
    혼공학습단
    jwt
    kisa
    보안이슈
    커널디버깅
    드림핵리버싱
    보안뉴스
    정보보안
    프로세스
    IT뉴스
    혼공단
    파이썬공부
    it이슈
    악성코드
    정보보호
    정보보안교육
    리버싱초보
    윈도우인터널스
    공급망공격
    파이썬입문
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.3
병뚜
Slow-Rate: Slowloris 공격 실습
상단으로

티스토리툴바