O que é Slowloris?

O Slowloris representa um é um tipo de ataques DDoS que atua na camada de aplicação, empregando solicitações HTTP parciais para estabelecer conexões prolongadas entre um único computador e um servidor web específico. O propósito é manter essas conexões abertas pelo maior tempo possível, resultando na sobrecarga e desaceleração do servidor. Este tipo de ataque exige uma largura de banda mínima para iniciar, e impacta unicamente o servidor web de destino, preservando intactos outros serviços e portas. Embora seja capaz de atingir diversas plataformas de software de servidor web, o Slowloris demonstrou ser particularmente eficaz contra o Apache 1.x e 2.x.

Funcionamento do Ataque Slowloris:

O ataque Slowloris opera enviando uma quantidade substancial de solicitações HTTP incompletas ao servidor web alvo. O agente malicioso envia solicitações parciais, nunca as completando integralmente. O servidor de destino mantém essas conexões abertas, aguardando as informações ausentes.


Com o tempo, o aumento no número de conexões abertas começa a consumir os recursos do servidor, tornando-o eventualmente incapaz de processar solicitações legítimas. Isso resulta em um ataque de negação de serviço (DoS), fazendo com que o servidor fique lento, não responda ou até mesmo trave.

O ataque Slowloris é executado principalmente nas quatro etapas a seguir:

• Múltiplas Conexões: O invasor estabelece várias conexões com o servidor de destino, enviando diversos cabeçalhos de solicitação HTTP parciais.
• Threads do Servidor: O destino abre um thread para cada solicitação recebida, planejando fechá-la assim que a conexão for concluída. No entanto, se uma conexão demorar muito, o servidor expirará para liberar o thread para novas solicitações.
• Manutenção de Conexões Ativas: Para evitar que o alvo expire o tempo limite das conexões, o invasor envia periodicamente cabeçalhos de solicitação parciais para manter a solicitação ativa, basicamente comunicando: “Ainda estou aqui! Eu sou apenas lento. Por favor, espere por mim!”
• Esgotamento de Recursos: O servidor de destino não pode liberar nenhuma conexão parcial enquanto aguarda o encerramento da solicitação. Quando todos os threads disponíveis estão em uso, o servidor não consegue responder às solicitações do tráfego normal, resultando em uma negação de serviço (DoS).

A principal vantagem do ataque Slowloris reside em sua capacidade de causar danos significativos com um consumo mínimo de largura de banda.

Sinais de um Ataque DDoS Slowloris:

Conforme sugere o próprio nome, um ataque DDoS Slowloris é caracterizado por sua natureza lenta e metódica. Envolvendo o envio contínuo de solicitações HTTP parciais ao servidor web visado, sem completude, o ataque induz o servidor de destino a abrir mais conexões, presumindo que as solicitações serão concluídas.

Eventualmente, os soquetes de conexão alocados pelo servidor são consumidos um por um até serem totalmente esgotados, bloqueando assim quaisquer tentativas legítimas de conexão. Em sites de alto volume, o Slowloris pode levar mais tempo para assumir completamente o controle, mas, em última análise, resulta na negação de todas as solicitações legítimas.

Exemplos de Ataques Slowloris:

Houve vários ataques Slowloris de alto perfil ao longo dos anos. Alguns exemplos incluem:

• Em 2009, o Irã acusou os EUA de lançar ataques Slowloris contra os websites de seu governo, causando perturbações significativas durante várias semanas.
• Em 2011, o site da CIA teria sido alvo de um ataque Slowloris pelo grupo de hackers LulzSec, tornando o site indisponível por várias horas.
• Em 2018, um ataque Slowloris foi lançado contra vários bancos na Rússia, tornando seus sites inacessíveis. O ataque foi atribuído ao grupo de hackers conhecido como MoneyTaker.

Diferenças entre ataques DDoS Slowloris e ataques DDoStradicionais de aplicativos:

Os ataques DDoS Slowloris diferem dos ataques DDoS tradicionais de aplicativos em alguns aspectos.

Em um ataque DDoS tradicional a aplicativos, o invasor sobrecarrega o alvo com um grande número de solicitações, normalmente provenientes de botnets. Essas solicitações, legítimas ou maliciosas, buscam sobrecarregar os recursos do alvo, como memória ou CPU.

Por outro lado, no ataque Slowloris, o invasor envia um número relativamente pequeno de solicitações, mas de forma lenta e incremental. Essas solicitações consomem os recursos do destino por um longo período. Normalmente, as solicitações são incompletas, e o invasor mantém intencionalmente a conexão aberta, enviando solicitações parciais ou atrasando o envio da próxima solicitação.

Finalmente, enquanto os ataques DDoS tradicionais a aplicativos são frequentemente detectados e mitigados por WAFs ou sistemas de prevenção de intrusões, os ataques Slowloris podem ser mais desafiadores de detectar e bloquear. O tráfego do ataque pode não parecer malicioso, e o servidor pode parecer funcionar normalmente mesmo sobrecarregado com conexões abertas.

Razões para o perigo dos ataques DDoS Slowloris:

Os ataques DDoS Slowloris são perigosos devido à sua capacidade de serem executados com relativamente poucos recursos, sendo capazes de derrubar efetivamente até mesmo servidores web robustos.

Denominados como “lentos”, esses ataques não dependem do envio de um alto volume de tráfego como outros ataques DDoS, mas sim da manutenção de um fluxo prolongado de conexões de baixo nível. Dado que os logs não podem ser gravados até que uma solicitação seja concluída, o Slowloris pode imobilizar um servidor, passando despercebido por um longo período. Isso ocorre sem levantar alertas para quem monitora ativamente os logs em busca de alterações.

Considerando que os ataques Slowloris demandam uma pequena quantidade de largura de banda e podem ser executados por uma única máquina, frequentemente são desafiadores de detectar e de se defender.

Em resumo, os ataques DDoS Slowloris são perigosos devido à sua alta eficácia na derrubada de servidores web, dificuldade de detecção e defesa, e à capacidade de serem lançados com recursos mínimos.

Medidas de proteção:

A implementação de diversas técnicas de proteção e mitigação é crucial para manter sites ou serviços seguros contra esses ataques. Algumas práticas para evitar ataques Slowloris incluem:

• Aumento dos limites de conexão do servidor web para reduzir a vulnerabilidade.
• Implementação de limitação de taxa com base em fatores específicos de uso.
• Utilização de balanceadores de carga para armazenar conexões em buffer e implementar técnicas de gerenciamento.
• Implementação de Firewalls de Aplicativos da Web (WAFs) para defesa contra ataques de aplicativos.
• Contratação de serviços de proteção DDoS para garantir uma camada extra de segurança.
• Monitoramento constante do tráfego de rede para identificação precoce de ataques.
• Manutenção regular de sistemas com a aplicação de patches de segurança mais recentes.
• Atualização frequente do software do servidor web para resolver vulnerabilidades conhecidas.

Como a GoCache pode ajudar? 

Através de nossos recursos de proteção contra DDoS, aliados com diferentes frentes de proteção web, como WAF, Rate Limit e Bot Mitigation, a GoCache consegue proteger com sucesso milhares de aplicações web contra ataques Slowloris.