CAPEC-469

Name

HTTP DoS

Typischer Schweregrad

Niedrig

Status

Draft

Veröffentlicht

2014-06-23
00h00 +00:00

Geändert

2022-09-29
00h00 +00:00

Offizielle Links

CAPEC Mitre.org

Benachrichtigung für ein CAPEC

Bleiben Sie über alle Änderungen zu einem bestimmten CAPEC informiert.

Benachrichtigungen verwalten

Benutzerdefinierte Benachrichtigungen

Aktivieren Sie Ihre personalisierten Benachrichtigungen!

Um Ihre Benachrichtigungen zu aktivieren, müssen Sie lediglich in Ihrem kostenlosen Konto angemeldet sein. Falls Sie noch nicht angemeldet sind, wählen Sie eine der folgenden Optionen.

In Ihr Konto einloggen Kostenloses Konto erstellen

Benachrichtigung für ein CAPEC

Bleiben Sie über alle Änderungen zu einem bestimmten CAPEC informiert.

Parameter

Sie können einen Titel angeben, der in den gesendeten Benachrichtigungen erscheint.

Geben Sie die CAPEC-ID an, die Sie überwachen möchten.

Planung

Monat

Berechnung des nächsten Ausführungstermins

Tag

Wochentag

Stunde

Minute

Erstellungsdatum

Letzte Ausführung

Nächste Ausführung

CAPEC-Beschreibungen

An attacker performs flooding at the HTTP level to bring down only a particular web application rather than anything listening on a TCP/IP connection. This denial of service attack requires substantially fewer packets to be sent which makes DoS harder to detect. This is an equivalent of SYN flood in HTTP. The idea is to keep the HTTP session alive indefinitely and then repeat that hundreds of times. This attack targets resource depletion weaknesses in web server software. The web server will wait to attacker's responses on the initiated HTTP sessions while the connection threads are being exhausted.

CAPEC-Informationen

Voraussetzungen

HTTP protocol is usedWeb server used is vulnerable to denial of service via HTTP flooding

Erforderliche Ressourcen

Ability to issues hundreds of HTTP requests

Gegenmaßnahmen

Configuration: Configure web server software to limit the waiting period on opened HTTP sessions
Design: Use load balancing mechanisms

Referenzen

REF-406

Slowris HTTP DoS
Robert Hansen.
http://ha.ckers.org/blog/20090617/slowloris-http-dos/

Einreichung

Name	Organisation	Datum	Veröffentlichungsdatum
CAPEC Content Team	The MITRE Corporation	2014-06-23 +00:00

Änderungen

Name	Organisation	Datum	Kommentar
CAPEC Content Team	The MITRE Corporation	2020-07-30 +00:00	Updated Taxonomy_Mappings
CAPEC Content Team	The MITRE Corporation	2020-12-17 +00:00	Updated Mitigations
CAPEC Content Team	The MITRE Corporation	2021-06-24 +00:00	Updated Taxonomy_Mappings
CAPEC Content Team	The MITRE Corporation	2022-09-29 +00:00	Updated Taxonomy_Mappings

CWE-ID	Name der Schwachstelle
CWE-770	Allocation of Resources Without Limits or Throttling The product allocates a reusable resource or group of resources on behalf of an actor without imposing any intended restrictions on the size or number of resources that can be allocated.
CWE-772	Missing Release of Resource after Effective Lifetime The product does not release a resource after its effective lifetime has ended, i.e., after the resource is no longer needed.

CAPEC-469 Details