Apache中的一個嚴(yán)重漏洞將使得拒絕服務(wù)攻擊(DoS)變得異乎簡單。

Apache 1.x，2.x，dhttpd，GoAhead WebServer和Squid確認(rèn)都受到影響;IIS6.0，IIS7.0和lighttpd未被波及。Apache基金會目前還沒有發(fā)布補(bǔ)丁。

ha.ckers公開的Slowloris代碼允許對一臺特定的服務(wù)器發(fā)動緩慢的拒絕訪問攻擊，而不是用堵塞整個網(wǎng)絡(luò)，它能讓一臺機(jī)器攻陷了另一臺機(jī)器的 web server，只需使用極少的帶寬，對不相關(guān)的服務(wù)和端口的副效應(yīng)降到最低。拒絕服務(wù)的理想攻擊情況是除了webserver不可訪問之外，其它服務(wù)都完整無缺。Slowloris便源自這個理念，相比大多數(shù)攻擊方法它更隱蔽。Slowloris首先發(fā)送一個不完整的HTTP請求，打開連接，然后每隔一段 時間發(fā)送剩余的header，以保證通訊端不被關(guān)閉，于是webserver的一個線程便被占用了。由于webserver允許的線程數(shù)量是有限制的，因此Slowloris會緩慢的消耗掉所有的通訊端口。Slowloris是一個Perl程序，需要Perl解釋器才能運(yùn)行。