Software::Netzwerk
Denial-of-Service-Problem in Apache
Ein Sicherheitsforscher hat eine Methode vorgestellt, den Webserver Apache lahmzulegen, allerdings ist es umstritten, ob das Problem wirklich neu ist.
Das von »RSnake« vorgestellte Problem, das mit einem Tool namens »Slowloris« nachvollzogen werden kann, arbeitet mit dem simplen Trick, Daten, die an den Server gesendet werden, bis kurz vor den Timeout zu verzögern. In einem ersten Ansatz sorgte er dafür, dass die Header-Zeilen einer Anfrage in Abständen von bis zu 300 Sekunden gesendet werden, doch es sind auch Variationen, auch beim Annehmen der Antwort vom Server, möglich. Viele davon wurden bereits 2006 ausführlich beschrieben. Da Apache einen eigenen Thread oder Prozess für jede Anfrage startet, kann das konfigurierte Maximum der Threads oder Prozesse erreicht werden. Das Maximum ist auch nicht beliebig erhöhbar, da jeder Thread oder Prozess Speicher für den Stack und andere Daten benötigt.
»RSnake« hat nach eigenen Angaben vor der Veröffentlichung das Apache-Sicherheitsteam kontaktiert, das sich jedoch wenig beeindruckt zeigte. Nach Angaben des Teams sind Denial-of-Service-Angriffe, die auf dem Belegen von TCP-Verbindungen beruhen, zu erwarten. Solche Angriffe, die letztlich auf einzelne Anwendungen zielen, sind schwer zu vermeiden, allenfalls zu lindern. Dazu gibt das Apache-Projekt bereits diverse Tipps. Ein entsprechender Eintrag in Bugzilla wurde als ungültig geschlossen.
Weder »RSnake« noch der Rest der Gemeinschaft war von dieser Auskunft angetan. »RSnake« veröffentlichte den Exploit, von dem einige Experten allerdings behaupten, dass ein solcher Angriff nichts Neues ist und bereits gelegentlich vorgekommen ist. Solange der Angriff von einer einzelnen IP-Adresse kommt, ist es auch ein Leichtes, ihm zu begegnen, man kann beispielsweise mit Netfilter die spezifische Adresse blockieren. Sollte aber jemals eine verteilte Denial-of-Service-Attacke (DDOS) kommen, so wären die Serverbetreiber relativ machtlos.
Nicht nur Apache, sondern auch andere Webserver wie dhttpd, GoAhead und Squid sollen betroffen sein, IIS 6 und 7 sowie lighthttpd dagegen nicht. Der Unterschied liegt in der Architektur der Server, und mittlerweile räumt auch das Apache-Projekt ein, dass der Server hier eine Schwäche hat. Die ankommenden Anfragen sollten von einem einzelnen Thread bearbeitet werden, der nicht blockiert und keine Skalierungsprobleme besitzt. Erst wenn eine Anfrage vollständig ist, sollte sie an den bearbeitenden Thread weitergereicht werden, so dass Ressourcen nicht unnötig belegt werden. Eine entsprechende Änderung soll in Arbeit sein, sogar schon seit geraumer Zeit, aber es fand noch niemand Zeit, sie fertigzustellen. Die Veröffentlichung des Exploits setzt die Entwickler jedoch unter einen gewissen Druck, eine Lösung zu liefern.
