Intrusion Detection Systems (IDS) sind Sicherheitslösungen, die entworfen wurden, um Netzwerke oder Computersysteme kontinuierlich zu überwachen und nach potenziellen Sicherheitsverletzungen oder Angriffen zu suchen. Der Zweck eines Intrusion Detection Systems besteht darin, verdächtige Aktivitäten zu erkennen, die auf ein Eindringen in ein Netzwerk oder System hinweisen könnten, und daraufhin Alarme auszulösen oder Maßnahmen zu ergreifen, um die Sicherheit zu gewährleisten.

Es gibt zwei Hauptarten von Intrusion Detection Systems:

1. Netzwerk-basierte Intrusion Detection Systems (NIDS): Diese Systeme überwachen den Datenverkehr innerhalb eines Netzwerks und suchen nach Anomalien oder bekannten Angriffsmustern. Sie analysieren Pakete, die über das Netzwerk übertragen werden, um verdächtige Aktivitäten zu erkennen, die auf einen Angriff oder eine Sicherheitsverletzung hinweisen könnten.

2. Host-basierte Intrusion Detection Systems (HIDS): Im Gegensatz zu NIDS überwachen HIDS die Aktivitäten auf einzelnen Hosts oder Computern. Sie überwachen die Systemprotokolle, Dateisysteme und andere Systemressourcen nach Anzeichen von Angriffen oder ungewöhnlichem Verhalten, das auf eine Sicherheitsverletzung hinweisen könnte.

Ein Intrusion Detection System kann entweder signaturbasiert oder verhaltensbasiert sein:

• Signaturbasierte IDS: Diese erkennen Angriffe anhand vordefinierter Muster oder Signaturen von bekannten Angriffen. Sie vergleichen den Netzwerkverkehr oder das Systemverhalten mit einer Datenbank bekannter Angriffssignaturen und lösen einen Alarm aus, wenn Übereinstimmungen gefunden werden.

• Verhaltensbasierte IDS: Diese analysieren das normale Verhalten des Netzwerks oder Systems und suchen nach Abweichungen oder Anomalien, die auf potenzielle Angriffe hinweisen könnten. Sie basieren auf dem Prinzip, dass Angriffe oft ungewöhnliche Aktivitäten verursachen, die von normalem Betriebsverhalten abweichen.

Intrusion Detection Systems spielen eine wichtige Rolle bei der Überwachung und Sicherung von Netzwerken und Computersystemen, indem sie frühzeitig auf potenzielle Bedrohungen reagieren und Sicherheitsverletzungen erkennen, um geeignete Gegenmaßnahmen zu ergreifen.

Ein Slowloris-Angriff ist eine Form eines sogenannten "Low-and-Slow"-Angriffs, der darauf abzielt, einen Webserver zu überlasten und den Zugriff auf ihn zu verhindern, indem er alle verfügbaren Verbindungen zum Server blockiert. Bei einem Slowloris-Angriff sendet der Angreifer viele HTTP-Anforderungen an den Server, aber er sendet sie extrem langsam, indem er die Datenübertragung absichtlich verzögert.

Typischerweise öffnet der Angreifer viele Verbindungen zum Server und hält diese geöffnet, indem er nur einen Teil der Anforderung sendet und dann die Verbindung offen lässt, indem er weitere Teile der Anforderung langsam sendet oder einfach keine weiteren Daten sendet. Auf diese Weise werden alle verfügbaren Verbindungen zum Server belegt, was dazu führt, dass legitime Benutzer keine Verbindung mehr herstellen können, da keine freien Verbindungen mehr verfügbar sind.

Dieser Angriff ist besonders effektiv gegen Webserver, die keine begrenzte Anzahl von Verbindungen pro Benutzer oder IP-Adresse erzwingen und sich auf die Ressourcenverfügbarkeit des Servers verlassen, um Anfragen zu bedienen. Ein gut konfigurierter Webserver kann solche Angriffe jedoch erkennen und abwehren.