Сессионная атака Slowloris

Между ботом и сервером-жертвой устанавливается TCP-сессия. Когда сессия уже успешно создана, атакующий бот не отвечает ACK пакетом, чтобы удержать сессию открытой, пока не сработает событие «Таймаут» (Session Time Out). Пустая сессия расходует системные ресурсы (ОЗУ, процессор и пр.), которые будут неизбежно выделены сервером для обработки открытой сессии. В результате сервер-жертва резервирует свободные ресурсы на обслуживание открытых TCP-сессий с ботами.

 

С ростом числа поддельных сессий остается все меньше системных ресурсов для поддержания и открытия новых TCP-сессий с легитимными пользователями и в итоге наступает недоступность сервера-жертвы. Сессионные атаки, генерируемые ботнетами, поступают с реальных IP-адресов, а для инициализации TCP-сессии используется механизм «‎3-х этапного рукопожатия TCP».

 

Частным случаем атак этого вида является атака Slowloris, во время которой открытыми удерживаются HTTP-сессии с web-сервером жертвой.

 

Простейшими способами защиты от этого вида атак является снижение тайм-аута на ожидание ответного пакета и установка ограничений на количество кэшируемых сессий с одного адреса или одной подсети. Но при установке таких ограничений не стоит забывать про риск блокировки легитимных пользователей, пытающихся подключиться к серверу из-за NAT, а также с медленными или нестабильными каналами.