Low rate attack : l’attaco calmo e tranquillo , difficile da intercettare .

Chi va piano …….

E’ un tipo di attacco mirato molto silenzioso. Questo tipo di attacco è molto diverso dagli attacchi di “forza bruta” che operano ed hanno successo grazie ad alta velocità sia computazionali che di rete.

Low rate attack

Questi attacchi spesso mirano a lasciare le connessioni aperte sul “target” creando un numero basso di connessioni per periodo di tempo e lasciando queste sessioni aperte il più a lungo possibile. Metodi comuni includono l’invio di richieste http parziali, come Slowloris, e Slowpost e l’invio di piccoli pacchetti di dati o keep alives per evitare che la sessione vada al timeout.

Questi vettori di attacco sono spesso mescolati con gli attacchi volumetrici ad alta velocità in modo da tentare di rimanere nascosti il più a lungo possibile.  Quindi non solo sono molto difficili da bloccare ma anche da rilevare.

Immaginate di essere al supermercato. Il supermercato ha un numero definito di casse dove pagare. Immaginate che in ogni fila che si avvicina alla cassa ci sia qualcuno che pagherà in monete da 1 Centesimo. Quando arriverà il suo turno, quella fila rimarrà bloccata per molto tempo. E se di persone che pagano in centesimi ce ne sono parecchi,  il supermercato arriverà al punto di blocco.

Esempi:

Connessione ad un server e poi inviare lentamente intestazioni HTTP parziali. Questo fa sì che il server mantenga la connessione aperta in modo da poter ricevere il resto delle intestazioni, legando il thread.

Generazione di  richieste di post HTTP per compilare i campi di un  modulo. Dice ai server quanti dati aspettarsi, ma poi li invia molto lentamente. Il server mantiene la connessione aperta perché aspetta più dati.

Un altro tipo di attacco basso e lento è l’attacco Sockstress, che sfrutta una vulnerabilità nella stretta di mano a 3 vie TCP/IP (three-way-handshake), creando una connessione indefinita.

Alcune volte, conviene andare lenti ! 🙂