Description de l’attaque

Slowloris est un script perl qui peut être exécuté sur n’importe quel système Unix.

L’attaque consiste à initier des requêtes HTTP sans les terminer, la connexion étant maintenue active par l’envoi répétitif d’en-têtes. La figure ci-dessous montre une trace de ces requêtes, et identifie clairement l’en-tête « X-a : b » utilisé par l’outil.

Le serveur Web Apache ne transmet les requêtes aux modules de traitement qu’une fois ces dernières complétées. Par conséquent, le serveur est vulnérable dans la mesure où il ne libère pas les connexions actives établies par l’outil. Pour la même raison les modules de sécurité ne peuvent être appliqués.

Une fois l’attaque lancée le serveur cible maintient des connexions ouvertes dans l’état ESTABLISHED.

Après un temps relativement court le serveur n’est plus accessible. Cet état est maintenu pendant toute la durée de l’attaque.

Protection

Le samedi 20 juin 2009, le DARC a fourni à ses clients une solution de contournement. Celle-ci, basée sur des règles de filtrage et des mécanismes de limitation de connexion, permet de protéger les sites Web contre cette attaque.

Le 26 juin 2009, un patch a été publié pour l’ensemble des produits et ce dernier est publiquement distribué aujourd’hui à l’issue d’une semaine de tests.

Par conséquent, l’ensemble des clients Deny All bénéficient dès à présent d’une protection contre cette attaque ainsi que l’ensemble de ses variantes.

Il s’agit de la première publication d’un patch pour un produit basé sur Apache contre cette attaque.

A ce jour, aucune protection native à Apache n’est disponible dans la mesure où elle nécessite une modification de son mode de fonctionnement interne.

Grâce à l’étude menée par son centre de recherche, Deny All est le premier éditeur à avoir fournit un correctif pour l’ensemble de ses plates-formes en production.