Slowloris (y de cualquier tipo de denegación de servicio con una intención similar) es una herramienta diseñada para soportar todas las conexiones disponibles en un servidor Apache sin tener una red masiva de denegación de servicio de acogida. El concepto es el mejor descrito por el promotor Slowloris -
Al considerar las ramificaciones de una denegación de servicio lento de ataque contra los servicios en particular, en vez de inundar las redes, un concepto surgido que permitan una sola máquina a la retirada de otra máquina de servidor web con ancho de banda mínimo y los efectos secundarios sobre los servicios no vinculados y los puertos. La situación ideal para muchos de los ataques de negación de servicios es donde todos los demás servicios permanecen intactos, pero el propio servidor web es totalmente inaccesible. Slowloris nació a partir de este concepto, por lo que es relativamente muy sigiloso en comparación con herramientas más inundaciones.
El concepto es simple - Slowloris envía parcialmente completo las peticiones HTTP de Apache y continúa enviando las cabeceras de estas conexiones y asegúrese de que nunca se cierran y no tiempo de espera. Continúa abrir más y más hasta que todos los enchufes disponibles en el servidor se utilizan, privando así a los servicios de acogida. Debido a que las peticiones son reales peticiones HTTP, y seguir obteniendo los datos enviados, se trata de un ataque especialmente peligrosa ya que puede ser difícil de proteger.
Aquí es donde realmente brilla HAProxy. En un post en el sitio HAProxy explican cómo HAProxy que hacer frente a dicho ataque. Lo primero a destacar es que HAProxy sólo hacia delante completa peticiones HTTP - entendiendo por tal cualquier completan las solicitudes que no se llega nunca servidor en el primer lugar!
Mientras que Apache necesita un nuevo hilo para procesar una conexión entrante, sólo necesita HAProxy 16-32 kB de memoria lo que significa que se puede ampliar mucho más allá de lo que su servidor Apache (o de explotación) más probable es que se puede lograr. Añadido a eso, usted puede agregar un tiempo de espera específicamente para las peticiones HTTP, permitiendo HAProxy para matar a todas las solicitudes no acabado (ver "tiempo de espera http-consulta").
La belleza de esta solución es que los servidores Apache seguirán recibiendo todas las solicitudes válidas, mientras que HAProxy chupa y termina las conexiones procedentes de la herramienta Slowloris.
HAProxy ha puesto una gota-en el ejemplo de configuración para evitar esto, disponible en su sitio oa través de este enlace directo .
