A minap RSnake publikált egy Slowloris nevű kis eszközt, melynek segítségével könnyűszerrel megfektethetők bizonyos rosszul konfigurált, szálakat használó (pl. Apache...) webkiszolgálók. A támadást a szerző kis sávszélességigényű szolgáltatásmegtagadásként (de szép hosszú szavak, tuti kihagytam pár kötőjelet...) értékelte, de a lényeg azt hiszem a fenti "rosszul konfigurált" kifejezésen kell hogy legyen. Mivel a tömegsajtó is elkezdte átvenni a hírt, azt hiszem jó, ha még az apokalipszis-próféták előtt tisztába teszem a helyzetet:

A megoldás nagyban hasonlít a hagyományos SYN flood-hoz, leszámítva, hogy alkalmazási rétegben dolgozunk: HTTP kapcsolatokat nyitunk és tartunk nyitva egészen addig, amíg az ezekhez rendelt szálak fel nem emésztik a kiszolgáló erőforrásait. Mindez RSnake tesztjei szerint viszonylag kevés, mindössze néhány száz, szabályos időközönként elküldött kéréssel megoldható.

Ezeket, és az Apache piaci részesedését figyelembe véve a támadás igen veszélyesnek tűnhet, de fontos látni azt, hogy az Apache és feltehetően a többi érintett termék gyártói már jó előre számoltak ezzel a kockázattal, és hatékony védelmül szolgáló konfigurációs lehetőségeket adtak az adminisztrátorok kezébe a védekezéshez. Ez egy feature, nem pedig egy bug, ha úgy tetszik.

A Slowloris ettől függetlenül remek eszköz lehet a kiszolgálók tűrőképességének tesztelésére, különösen azért, mert nem kell a szerver teljes ledöglésével számolni, az eddigi tapasztalatok szerint a megtámadott gépek perceken belül visszaállnak az elárasztás végeztével.