安全專家羅伯特·漢森(Robert Hansen)近日表示，Apache和其它Web服務器存在一個重大安全漏洞，可被黑客利用發(fā)起一種新拒絕服務(DoS)攻擊。

漢森將這種攻擊稱為“Slowloris”。傳統(tǒng)的DoS攻擊往往是通過發(fā)送大量的數據來達到使網站宕機的目的，而Slowloris只需通過少數數據包就能實現(xiàn)同樣的效果。

漢森表示，一個典型的DoS攻擊可能需要1000臺計算機來讓某個Web服務器宕機，因為攻擊者需要它們發(fā)送大量數據來占滿該網站線路的帶寬，從而讓別人無法再訪問該服務器。而Slowloris不用如此，攻擊者只需要在攻擊開始的時候發(fā)送1000個左右數據包，然后每分鐘繼續(xù)發(fā)送200-300個數據包即可。

Slowloris并不是通過大流量數據來轟炸一個網站，而是通過發(fā)送局部http請求來占據一個Web服務器的可用連接。漢森表示，“你發(fā)送了一個請求，但你從沒有實際完成這個請求，如果你發(fā)送數百個局部請求，Apache將等待很長時間來等每一個連接告訴它需要執(zhí)行的內容?！?/P>

漢森表示，Apache服務器一般會限制同時打開的線程的數量，如果它未加限制，攻擊者則可以使用內存耗盡或其他形式的手法來對其攻擊。

目前存在該漏洞的Web服務器包括Apache 1.x、Apache 2.x、dhttpd、GoAhead WebServer和Squid，但這種攻擊對IIS 6.0、IIS 7.0或lighttpd無效。IIS等服務器使用“工作池”，可以打開其資源支持的任意多連接。

據漢森表示，該攻擊不會影響使用負載均衡技術的大型網站。