Immaginate di avere un ufficio con 10 dipendenti al pubblico che per contratto devono parlare con chiunque si presenti perché non viene fermato dalla guardia giurata. E immaginate che a un certo punto gli avventori inizino a parlare lettera per lettera. Ci mettono magari un’ora solo per ottenere un’informazione fondamentale e i vostri dipendenti sono obbligati per contratto a dargli ascolto, togliendo spazio quindi ai clienti legittimi.
Sarebbe assurdo? Beh, sì, ma è il cosiddetto attacco Slowloris. Infatti la stragrande maggioranza dei webserver ha un numero massimo di connessioni concorrenti. Essendo HTTP un protocollo senza stato di solito ciò non crea problemi, le connessioni durano pochissimo, ma bisogna anche ricordare le evenienze di chi, magari, ha connessioni cellulare poco stabili e quindi manda le sue richieste a spizzichi e bocconi, quindi una connessione ha dei tempi di timeout abbastanza alti.
Ovviamente questa situazione è sfruttabile a fini malevoli: se una persona crea un migliaio di connessioni del genere che mandano una lettera di richiesta al secondo in pochi secondi ha saturato il numero di connessioni concorrenti. Magari qualcuno riuscirà a connettersi nei brevi spazi di riconnessione dei bot, ma sarà un numero microscopico rispetto alla media, che quindi subirà un vero e proprio DoS.
E, a differenza degli attacchi DoS classici che richiedono terabit al secondo di banda questo attacco ne richiede proprio pochissima. Per chi fosse interessato a vederlo in pratica c’è questo video di Computerphile
