Quelque peu occulté par la popularité de Slow Loris, l'outil de déni de service NKiller2 n'en demeure pas moins une menace latente. Comme pour son illustre cousin, il s'agit de faire du neuf avec du vieux : la technique d'attaque est connue, mais la nouveauté réside dans la disponibilité d'un outil d'attaque pré-packagé.

NKiller2 est également, comme Slowloris, très léger en ressources exigées côté client, ce qui en fait un candidat idéal pour un botnet. "Il maintient notamment un état précis des connexions ouvertes grâce un cookie de connexion (cookie TCP inversé en quelque sorte), ce qui lui permet lui de ne conserver que très peu de choses en local", explique Jérémy D’Hoinne, directeur produits chez NETASQ.

La ressemblance s'arrête toutefois ici : alors que Slowloris est un DoS applicatif qui ne cible que Apache et certains serveurs web, NKiller2 attaque au niveau de la pile TCP/IP et peut donc concerner un panel d'équipements réseau plus vaste.

Le principe de l'attaque consiste à empêcher le système d'exploitation de libérer la mémoire allouée à une connexion, en lui renvoyant de temps à autre (le timing est important) un simple paquet lui indiquant qu'il reste encore des choses à venir. Il est ainsi facile de saturer la mémoire en demandant toujours plus de connexions qui ne seront jamais purgées.

La protection contre cette attaque exige de surveiller en temps réel l'état du serveur afin de repérer un surplus connexions en attente, et purger ces dernières des cookies de connexion.

Il semblerait cependant que l'outil ne soit pas franchement exploité pour l'instant.