安全專家羅伯特·漢森(Robert Hansen)近日表示，Apache和其它Web服務(wù)器存在一個重大安全漏洞，可被黑客利用發(fā)起一種新拒絕服務(wù)(DoS)攻擊。

漢森將這種攻擊稱為“Slowloris”。傳統(tǒng)的DoS攻擊往往是通過發(fā)送大量的數(shù)據(jù)來達到使網(wǎng)站宕機的目的，而Slowloris只需通過少數(shù)數(shù)據(jù)包就能實現(xiàn)同樣的效果。

漢森表示，一個典型的DoS攻擊可能需要1000臺計算機來讓某個Web服務(wù)器宕機，因為攻擊者需要它們發(fā)送大量數(shù)據(jù)來占滿該網(wǎng)站線路的帶寬，從而讓別人無法再訪問該服務(wù)器。而Slowloris不用如此，攻擊者只需要在攻擊開始的時候發(fā)送1000個左右數(shù)據(jù)包，然后每分鐘繼續(xù)發(fā)送200-300個數(shù)據(jù)包即可。

Slowloris并不是通過大流量數(shù)據(jù)來轟炸一個網(wǎng)站，而是通過發(fā)送局部http請求來占據(jù)一個Web服務(wù)器的可用連接。漢森表示，“你發(fā)送了一個請求，但你從沒有實際完成這個請求，如果你發(fā)送數(shù)百個局部請求，Apache將等待很長時間來等每一個連接告訴它需要執(zhí)行的內(nèi)容。”

漢森表示，Apache服務(wù)器一般會限制同時打開的線程的數(shù)量，如果它未加限制，攻擊者則可以使用內(nèi)存耗盡或其他形式的手法來對其攻擊。

目前存在該漏洞的Web服務(wù)器包括Apache 1.x、Apache 2.x、dhttpd、GoAhead WebServer和Squid，但這種攻擊對IIS 6.0、IIS 7.0或lighttpd無效。IIS等服務(wù)器使用“工作池”，可以打開其資源支持的任意多連接。

據(jù)漢森表示，該攻擊不會影響使用負(fù)載均衡技術(shù)的大型網(wǎng)站。