慢连接攻击原理- IT安全运维

2020-05-07 17:06 作者：艾锑无限 浏览量：

慢速攻击原理：

在网络安全运维中http慢速攻击是利用http合法机制，在建立连接后，尽量长时间保持连接，不释放，达到对HTTP服务攻击,攻击者发送POST请求，自行构造报文向服务器提交数据，将报文长度设置一个很大的值，且在随后每次发送中，每次只发送一个很小的报文，这样导致服务器一直等待数据，连接始终一直被占用。如果攻击者使用多线程或傀儡机子去做同样操作，服务器WEB容器很快就被占满TCP连接而不再接受新请求。



 slowhttptest是一款对服务器进行慢攻击的测试软件，包含了几种攻击方式，像Slowloris、SlowHTTP POST、Slow Read attack等。总而言之，该工具的原理就是设法让服务器等待，当服务器在保持连接等待时，就消耗了资源。

1、 最具代表性的是rsnake发明的Slowloris，又被称为slow headers。

【攻击原理】

HTTP协议规定，HTTP Request以\r\n\r\n（0d0a0d0a）结尾表示客户端发送结束，服务端开始处理。那么，如果永远不发送\r\n\r\n会如何？Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive，要求Web Server保持TCP连接不要断开，随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端，如a:b\r\n，导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。
 
2、Slowloris的变种--Slow HTTP POST，也称为Slow body。 

【攻击原理】

在POST提交方式中，允许在HTTP的头中声明content-length，也就是POST内容的长度。

在提交了头以后，将后面的body部分卡住不发送，这时服务器在接受了POST长度以后，就会等待客户端发送POST的内容，攻击者保持连接并且以10S-100S一个字节的速度去发送，就达到了消耗资源的效果，因此不断地增加这样的链接，就会使得服务器的资源被消耗，最后可能宕机。

3、Slow Read attack

【攻击原理】

采用调整TCP协议中的滑动窗口大小，来对服务器单次发送的数据大小进行控制，使得服务器需要对一个回应分成很多个包来发送。要使这种攻击效果更加明显，请求的资源要尽量大。

 用Wireshark抓包可以看出，当请求a.wmv资源（大小有9M多）时，客户端windowssize被刻意设置为1152字节。客户端缓冲区在被来自服务器的数据填满后，发出了[TCP ZeroWindow]告警，迫使服务端等待。 

受到以上各种慢速攻击后，服务器再无法访问 
 

适合网络安全运维掌握的解决办法：

1.使用NGINX，因为其本身就对慢速攻击有很好防护

2.tomcat可通过运行模式NIO和connectionTimeout值进行缓解

3.dos deflate软件：https://www.cnblogs.com/cloudapps/p/4996050.html

另外，在tomcat中配置connectionTimeout参数也可以防止head攻击下的拒绝服务，但是对于body和read情况下没有能力解决。 

艾锑无限科技专业：IT外包、企业外包、北京IT外包、桌面运维、弱电工程、网站开发、wifi覆盖方案,网络外包,网络管理服务,网管外包,综合布线,服务器运维服务,中小企业it外包服务,服务器维保公司,硬件运维,网站运维服务
 
以上文章由北京艾锑无限科技发展有限公司整理