慢速攻击不算漏洞?

最新推荐文章于 2024-10-24 21:32:32 发布
最新推荐文章于 2024-10-24 21:32:32 发布
阅读量1k 收藏 1
点赞数
分类专栏: 渗透测试总结的方法 文章标签: 慢速攻击 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bul1et/article/details/83651010
版权

慢速攻击可以让没有防护的服务器或者网络设备瘫痪  能说不算漏洞?

我就总结一下自己是怎么复现的吧 

首先可以使用扫描器来扫出这个漏洞

但是你写报告里面别人肯定是不能信服的啊   我们就来用工具来验证一下吧

第一种方法就是使用kali自带的slowhttptest试试

安装我就不多说了   网上都有

我们来看看怎么使用

在终端使用命令

slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u 目标地址(url或者是ip) -x 24 -p 3

我们看到里面service available字段里面是No  

就是我们慢慢持续的发送包经过125秒之后就到达不了服务器了  也就是服务器就已经停止服务了。

此时我们去访问页面发现页面已经崩了

 

其实验证到这里就可以写报告了   但是今天遇到的这个客户非要我给他的网站用脚本打一下DOS   ....

打打也无妨   反正是授权的

我们使用脚本去打

脚本这个我就不贴了   太多了   我已上传附件到CSDN了,想要的可以自己去下载

我就来演示一下怎么打的

torshammer.py -t 目标地址(可以是主机或者域名,但是域名需要去掉http  /) -r 1000

看一下网站的网络的网络延时 是不是跟我们预想的一样还是直接就给网站打崩了    

大家记住-r 参数  最多加到2000 就不要加了

 

冲冲_冲
关注
专栏目录
安全问题汇总(二) SlowHttp 慢速攻击防护
liangmaoxuan的专栏
04-08 3817
SlowHttp 慢速攻击防护
攻击防御 apache wamp
02-07
该扩展主要用于64位的wamp以及同类型的apache 可以防御攻击,也可以防御ddos 具体的安装说明都在打包文件中 如果有不明白的地方,可以给我留言
软件安全测试·DoS·HTTP慢速攻击
06-22
一、攻击原理 2 二、测试用例设计 3 三、测试用例执行结果 4 附:slowhttptest工具使用介绍 5 1. 官方示例 5 2. 结果查看 5
慢速DOS攻击漏洞
JesJiang的博客
09-26 2613
漏洞描述: 利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。 修复方法: 对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为8秒。 tomcat tomcat配置文件conf...
慢速连接攻击是什么?慢速连接攻击怎么防护?
qq_38647109的博客
08-29 654
慢速连接攻击(Slow Connection Attack),又称慢速攻击(Slowloris Attack),是一种网络攻击技术,旨在通过占用服务器上的所有可用连接资源来使其无法响应正常请求。与传统的拒绝服务(DoS)和分布式拒绝服务(DDoS攻击不同,慢速攻击并不依赖于发送大量数据包来消耗带宽,而是利用HTTP、TCP或SSL等协议的特性,通过发送大量不完整的请求或缓发送数据来占用服务器资源,使服务器陷入等待状态,从而无法处理正常请求。
http慢速攻击漏洞修复
zhangzhen02的博客
10-15 5842
原理 漏洞原理 HTTP慢速攻击也叫slow http attack,是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求,就会导致占用一个HTTP连接会话。如果发送大量慢速的HTTP包就会导致拒绝服务攻击DoS。 3种攻击方式 Slow headers(也称slowloris):Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,Web服务器再没接收到2个连续的\r\n时,会认为客户端
慢速攻击是什么,如何进行有效的防护
HoewDec的博客
05-21 769
客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。和CC攻击一样,只要Web服务器开放了Web服务,那么它就可以是一个靶子,HTTP协议在接收到request之前是不对请求内容作校验的,所以即使你的Web应用没有可用的form表单,这个攻击一样有效。
Dos攻击修复(slowhttptest)
iokla
09-11 5575
Slow HTTP Denial of Service Attack 中文叫作缓的HTTP攻击漏洞,网上多数是tomcat的修复方法,然而实际上会碰到iis,nginx,apache等web服务器的这个问题,于是就有了这个修复集合。 漏洞描述: 利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。 修复方法: 对
slowhttptest 慢速攻击
09-17
开发者或安全研究人员可以利用这个工具来测试他们的HTTP服务器对慢速攻击的抵抗力,从而发现并修复可能的安全漏洞。 **慢速攻击原理** 慢速攻击主要利用HTTP协议的特性,比如长时间保持连接(Keep-Alive)和...
HTTP慢速攻击:DoS防御与slowhttptest工具实践
本文主要探讨了软件安全测试中的DoS(拒绝服务)攻击,特别是HTTP慢速攻击。这种攻击利用HTTP协议的特性,通过发送未完成或极低速率的请求来耗尽服务器资源,从而导致服务中断。文章提到了Slowloris和SlowHTTPPOST两...
http慢速攻击如何解决
06-02
HTTP慢速攻击(Slow HTTP Attack)是一种利用 ...4. 软件升级:对于已知的 HTTP 慢速攻击漏洞,及时升级软件,修复漏洞。 5. 使用反向代理:使用反向代理可以将攻击流量分散到多个服务器上,提高服务器的抗攻击能力。
Nginx - 缓的 HTTP 拒绝服务攻击
最新发布
a2497_282263的博客
10-24 854
当客户端发送的请求体数据小于或等于指定大小时,
ReDoS-checker:检查您的正则表达式是否存在ReDoS漏洞
05-18
基于 在这里尝试: :
慢速连接攻击和处理方式
weixin_34281477的博客
12-25 1400
慢速攻击原理:     http慢速攻击是利用http合法机制,在建立连接后,尽量长时间保持连接,不释放,达到对HTTP服务攻击,攻击者发送POST请求,自行构造报文向服务器提交数据,将报文长度设置一个很大的值,且在随后每次发送中,每次只发送一个很小的报文,这样导致服务器一直等待数据,连接始终一直被占用。 如果攻击者使用多线程或傀儡机子去做同样操作,服务器WEB容器很快就被占满TCP连接而不再...
http攻击 ,用nginx解决
zheyijieyou的博客
08-01 7099
攻击解决方案
Nginx解决Http攻击(Slow HTTP Attack)
01-05 3786
的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。瘫痪目标服务器。
Nginx:nginx优化之--连接攻击应对
非著名JAVA程序员的博客
12-04 1084
nginx优化之--连接攻击应对 http://blog.sina.com.cn/s/blog_d22865190101gbae.html
Nginx 配置防护 缓的 HTTP拒绝服务攻击+点击劫持:X-Frame-Options未配置
tonyhi6的博客
06-07 1435
的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。1 检测到目标主机可能存在缓的HTTP拒绝服务攻击。三 点击劫持:X-Frame-Options未配置。2 再次测试,服务器查看资源使用情况。1 修改nginx配置文件。二 修改nginx配置。
慢速攻击(Linux)
suo_y的博客
04-21 4704
1、centos系统中安装解压slowhttptest-master.zip 以下举例中,BLB: 115.236.146.3, 端口80, 源站EIP: 115.246.146.4,后端web服务器为nginx Slowloris测试 1、在攻击发起机器(另一台BCC机器)上向BLB发起测试: slowhttptest -H -g -o /root/header_result -i 5 -r 50 -l 300 -c 200 -t GET -u http://115.236.146.3:80/index.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值