Ciekawe narzędzie/koncepcja: Slowloris HTTP DoS.
Slowloris HTTP DoS
Atak implementowany przez Slowloris HTTP DoS (wpis na blogu) to DoS a nie DDoS, czyli ilość zasobów angażowanych po swojej stronie przez atakującego jest stosunkowo niewielka. Informacja na temat tego narzędzia pojawiła się również na Internet Storm Center: Apache HTTP DoS tool released.
Sama koncepcja ataku jest dość prosta: część serwerów HTTP do obsługi każdego klienta tworzy nowy wątek/proces. Ilość możliwych do stworzenia wątków/procesów jest ograniczona (konfiguracja, zasoby systemu), tak więc jeśli atakujący zajmie wszystkie dostępne procesy, nowi klienci nie będą obsługiwani. W normalnym przypadku klient przesyła żądanie do serwera i otrzymuje na nią odpowiedź, tu jednak klient łączy się z serwerem i... "duka". Swoje żądanie przekazuje bardzo powoli (co jest możliwe ze względu na konstrukcję protokołu HTTP). W efekcie po pewnym czasie wszyscy dostępni po stronie serwera "pracownicy" zamiast obsługiwać nowych klientów, czekają aż "jąkała" w końcu skończy.
Jestem ciekawy jak z tym atakiem radzą sobie powszechnie wykorzystywane urządzenia typu load balancer (patrz końcówka wpisu na ISC).
Przy okazji ciekawa lektura wprowadzająca do sedna problemu: The C10K problem, w szczególności sekcja Serve one client with each server thread.
Osobiście ma lekko odmienne zdanie, ale to się nie liczy