安全專家羅伯特·漢森(Robert Hansen)近日表示，Apache和其它Web服務(wù)器存在一個(gè)重大安全漏洞，可被黑客利用發(fā)起一種新拒絕服務(wù)(DoS)攻擊。

漢森將這種攻擊稱為“Slowloris”。傳統(tǒng)的DoS攻擊往往是通過發(fā)送大量的數(shù)據(jù)來達(dá)到使網(wǎng)站宕機(jī)的目的，而Slowloris只需通過少數(shù)數(shù)據(jù)包就能實(shí)現(xiàn)同樣的效果。

漢森表示，一個(gè)典型的DoS攻擊可能需要1000臺(tái)計(jì)算機(jī)來讓某個(gè)Web服務(wù)器宕機(jī)，因?yàn)楣粽咝枰鼈儼l(fā)送大量數(shù)據(jù)來占滿該網(wǎng)站線路的帶寬，從而讓別人無法再訪問該服務(wù)器。而Slowloris不用如此，攻擊者只需要在攻擊開始的時(shí)候發(fā)送1000個(gè)左右數(shù)據(jù)包，然后每分鐘繼續(xù)發(fā)送200-300個(gè)數(shù)據(jù)包即可。

Slowloris并不是通過大流量數(shù)據(jù)來轟炸一個(gè)網(wǎng)站，而是通過發(fā)送局部http請(qǐng)求來占據(jù)一個(gè)Web服務(wù)器的可用連接。漢森表示，“你發(fā)送了一個(gè)請(qǐng)求，但你從沒有實(shí)際完成這個(gè)請(qǐng)求，如果你發(fā)送數(shù)百個(gè)局部請(qǐng)求，Apache將等待很長(zhǎng)時(shí)間來等每一個(gè)連接告訴它需要執(zhí)行的內(nèi)容?！?/P>

漢森表示，Apache服務(wù)器一般會(huì)限制同時(shí)打開的線程的數(shù)量，如果它未加限制，攻擊者則可以使用內(nèi)存耗盡或其他形式的手法來對(duì)其攻擊。

目前存在該漏洞的Web服務(wù)器包括Apache 1.x、Apache 2.x、dhttpd、GoAhead WebServer和Squid，但這種攻擊對(duì)IIS 6.0、IIS 7.0或lighttpd無效。IIS等服務(wù)器使用“工作池”，可以打開其資源支持的任意多連接。

據(jù)漢森表示，該攻擊不會(huì)影響使用負(fù)載均衡技術(shù)的大型網(wǎng)站。