slowloris. Демонстрация атаки на отказ в обслуживании методом slow HTTP POST

Я хочу рассказать вам об одной утилите slowloris, которая валит некоторые сайты, с помощью атаки на отказ в обслуживании по методу Slow HTTP POST.
Поиск показал, что тема далеко не нова, но, как показали мои небольшие исследования, всё ещё актуальна. Решила проверить её в работе, в боевых условиях. Хочу сказать о широко доступной технологии, позволяющей с одного компьютера с небольшим каналом укладывать небольшие и средние сайты, а при использовании нескольких машин с повсеместно распространенным сейчас скоростным доступом в Интернет причинить немало проблем и более серьезным проектам.

Технология этой атаки очень изящна и проста. Атака базируется на уязвимости в протоколе HTTP. Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем Content-Length, которое позволяет веб серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов. Несколько тысяч таких соединений могут положить веб сервер на несколько минут. Если ваша система имеет веб интерфейс, то данный вид атак позволит положить его без особых проблем. (цитата из хабрахабра)
Уязвимость в протоколе, у некоторых сайтов осталась, несмотря на то, что она не нова и давно.
Простота реализации атаки позволяет использовать для этого простой Java аплет, который запускается во время нахождения на каком нить сайте. Как только жертва принимает self-signed аплет, аплет начинает выполнять атаку в то время, пока пользователь играл в онлайн игру, к примеру. После выхода из игры и закрытия браузера атака прекращалась, а аплет удалялся. Обнаружить, что ты стал источником атаки довольно проблематично — ведь компьютер не заражается в классическом понимании этого слова, а отличить трафик от легального HTTP-трафика сложно.

Кроме того, интернет-канал почти не перегружается.
Атака приводит к обрушению веб-серверов в рамках протоколов HTTP или HTTPS и, очевидно, любых !безопасных" подключений вроде SSL, VPN и других. Также атака может быть адаптирована для работы с SMTP и даже DNS-серверами. Программное обеспечение, балансирующее нагрузку, ныне используемое для предотвращения DDOS-атак, схожих по типу (Slowloris), не эффективно против этой методики.

Утилиту, проверила на практике. скачала slowloris.pl-master, до этого, с перлом не работала. Гуглю, устанавливаю, запускаю.

С первой командой ошиблась, иногда путаюсь в них.((( Остальные - верны. Ввожу адрес одного небольшого сайтика. Не поддался, но заметно затормозил. Перебрав несколько, нахожу более слабо защищенный. Через минуту, сайтина валялась.
Выводы (опять же стырено, бо грамотно так не сумею написать)

1) Slow HTTP POST позволяет организовывать атаки на отказ в обслуживании, с недостижимым соотношением необходимой мощности/канала атакующего компьютера (компьютеров) и атакуемого сервера.
2) Огромное количество малых и средних сайтов на сегодняшний день подвержены этой атаке. Причем зачастую со стороны сервера сложно даже диагностировать, что сайт атакуют – трафик не превышает нормальных значений.
3) Реализация атаки очень проста, и практически не требует никаких вложений. Более того, это единственная известная науке атака на отказ в обслуживании, которую реально организовать через прокси!
4) Схожесть трафика атаки с легальным трафиком усложняют фильтрацию «вредных» пакетов, а также позволяют легко организовать сложно обнаруживаемый ботнет.

P.S.

Информация не претендует на новизну или полноту. Это сборная солянка, писалась из нескольких источников, плюс немного моего опыта.