什么是慢速连接攻击?我们该如何防护

本文详细介绍了HTTP慢速攻击的三种主要类型:Slowloris、SlowHTTPPOST和SlowReadattack,这些攻击通过延长HTTP连接时间,消耗服务器资源,导致服务不可用。同时,提到了slowhttptest这款测试工具,用于模拟此类攻击。针对这些攻击,解决方案包括使用支持防护的服务器软件如NGINX,调整Tomcat配置,以及寻求专业云安全服务。
摘要由CSDN通过智能技术生成

慢速攻击原理:

http慢速攻击是利用http合法机制,在建立连接后,尽量长时间保持连接,不释放,达到对HTTP服务攻击,攻击者发送POST请求,自行构造报文向服务器提交数据,将报文长度设置一个很大的值,且在随后每次发送中,每次只发送一个很小的报文,这样导致服务器一直等待数据,连接始终一直被占用。

如果攻击者使用多线程或傀儡机子去做同样操作,服务器WEB容器很快就被占满TCP连接而不再接受新请求。

slowhttptest是一款对服务器进行慢攻击的测试软件,包含了几种攻击方式,像Slowloris、SlowHTTP POST、Slow Read attack等。

总而言之,该工具的原理就是设法让服务器等待,当服务器在保持连接等待时,就消耗了资源。

1、 最具代表性的是rsnake发明的Slowloris,又被称为slow headers。

【攻击原理】

HTTP协议规定,HTTP Request以\r\n\r\n(0d0a0d0a)结尾表示客户端发送结束,服务端开始处理。那么,如果永远不发送\r\n\r\n会如何?Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive,要求Web Server保持TCP连接不要断开,随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端,如a:b\r\n,导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作,服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。

2、Slowloris的变种--Slow HTTP POST,也称为Slow body。

【攻击原理】

在POST提交方式中,允许在HTTP的头中声明content-length,也就是POST内容的长度。

在提交了头以后,将后面的body部分卡住不发送,这时服务器在接受了POST长度以后,就会等待客户端发送POST的内容,攻击者保持连接并且以10S-100S一个字节的速度去发送,就达到了消耗资源的效果,因此不断地增加这样的链接,就会使得服务器的资源被消耗,最后可能宕机。

3、Slow Read attack

【攻击原理】

采用调整TCP协议中的滑动窗口大小,来对服务器单次发送的数据大小进行控制,使得服务器需要对一个回应分成很多个包来发送。要使这种攻击效果更加明显,请求的资源要尽量大。

用Wireshark抓包可以看出,当请求a.wmv资源(大小有9M多)时,客户端windowssize被刻意设置为1152字节。客户端缓冲区在被来自服务器的数据填满后,发出了[TCP ZeroWindow]告警,迫使服务端等待。

受到以上各种慢速攻击后,服务器再无法访问。

解决办法:

1.使用NGINX,因为其本身就对慢速攻击有很好防护。

2.tomcat可通过运行模式NIO和connectionTimeout值进行缓解。

3.如果自身没有处理能力的话,也是可以咨询腾讯云安全您排忧解难。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值