Cuộc tấn công DDoS Slowloris cố gắng áp đảo hệ thống server được nhắm mục tiêu bằng cách mở và duy trì nhiều kết nối HTTP đồng thời tới mục tiêu. Có cách hoạt động không giống với các hình thức tấn công khuếch đại (amplification), chúng lặng lẽ và chậm rãi nhưng mang sức mạnh rất lớn và có khả năng gây thiệt hại rất nhiều. Hãy cùng Vietnix tham khảo thêm về chủ đề DDoS Slowloris qua bài viết dưới đây.
Giới thiệu
DDoS Slowloris là một hình thức tấn công được thiết kế nhằm làm cho web server bị quá tải và không thể phản hồi các request hợp lệ từ người dùng. Một điểm đặc biệt khác với các loại tấn công khác của Sloworis chính là nó không cần lượng lớn băng thông và tập trung vào lỗ hổng trong cách mà web server xử lý kết nối.
Cách hoạt động của DDoS Slowloris
DDoS Slowloris là hình thức tấn công lớp 7 – ứng dụng hoạt động bằng cách sử dụng một phần các request HTTP. Chúng mở kết nối tới mục tiêu là các web server, sau đó giữ các kết nối đó luôn mở lâu nhất có thể.
Nếu gọi đúng hơn thì Slowloris không hẳn là một dạng tấn công mà là công cụ được thiết kế cho phép một máy tính có thể làm sập một server mà không cần nhiều băng thông. Cách hoạt động của Slowloris cũng khác các dạng DDoS khuếch đại như DNS amplification cần lượng lớn băng thông, thiết bị và thực hiện ồ ạt trong thời gian ngắn, chúng chỉ sử dụng lượng băng thông thấp, giả mạo cắc request hợp lệ, và thực hiện trong thời gian dài theo dạng tấn công “low and slow”.
Khi một server mục tiêu được kết nối, ban đầu nó sẽ có rất nhiều luồng để xử lý các kết nối đồng thời. Tuy nhiên, các kết nối này sẽ không hoàn tất và đóng lại, server sẽ phải luôn cố duy trì các kết nối hoạt động và cho đến khi vượt quá số lượng cho phép, các kết nối sau đó sẽ không được xử lý và, tình trạng từ chối dịch vụ xuất hiện.
Có thể xem tổng quan tấn công Slowloris trong 4 bước sau:
- Đối tượng tấn công gửi nhiều header của một phần request HTTP, mở nhiều kết nối đễn server.
- Mỗi request đến sẽ được mở một luồng, luồng sẽ đóng sau khi kết nối hoàn tất. Trong tình huống kết nối quá mất thời gian, luồng cũng sẽ được giải phóng và dành cho request tiếp theo.
- Tuy nhiên để khiến kết nói tiếp tục duy trì, đối tượng định kỳ gửi header của request yêu cầu duy trì kết nối.
- Server sẽ không bao giờ có thể giải phóng được luồng hiện tại đang mở trong khi chờ yêu cầu chấm dứt. Khi đã sử dụng hết mọi luồng có sẵn, server không thể tiếp tục xử lý các yêu cầu khác và hiện tượng từ chối dịch vụ sẽ diễn ra.
Cách giảm thiểu tấn công
Tấn công Slowloris là một chiến thuật đặc biệt nguy hiểm bởi vì nó không yêu cầu nhiều băng thông và có thể được thực hiện bởi một số lượng nhỏ các máy tính. Nó nhắm vào điểm yếu cụ thể trong cách các server quản lý kết nối, khiến nó trở thành một phương pháp tinh vi để làm suy yếu hoặc làm sập các web server.
Với các server dễ bị nhắm đến để tấn công Slowloris, có nhiều cách để giảm thiểu tấn công và sự ảnh hưởng của nó, phổ biến có 3 loại chung như sau:
- Tăng tính khả dụng của server: tăng số lượng client tối đa cùng lúc sẽ tăng số lượng kết nối và đối tượng tấn công cần phải thực hiện trước khi server bắt đầu quá tải, kéo dài thời gian để phát hiện và ứng phó kịp thời
- Sử dụng rate limit cho các request sẽ đến: có thể giới hạn số lượng request mà mối IP có thể thực hiện, khiến cho tốc độ truyền giảm đi hay thời gian tối đa duy trì kết nối mỗi người dùng thấp hơn.
- Sử dụng các biện pháp bảo vệ như anti-DDoS hay reverse proxy,…
Kết luận
Qua bài viết này hy vọng đã giúp bạn hiểu hơn về hình thức tấn công DDoS Slowloris. Từ đó trang bị cho bản thân các kiến thức cũng như các giải pháp để đối phó, giảm thiểu các hành vi tấn công DDoS trong tương lai. Đừng ngần ngại để lại bình luận bên dưới và đội ngũ admin Vietnix có thể hỗ trợ bạn sớm nhất. Ngoài ra các bạn có thể tham khảo và tìm hiểu thêm về chủ đề DDoS ở các bài viết tiếp theo của Vietnix để tích luỹ kiến thức cho chính mình.
