慢速攻击类型原理及测试配置

于 2024-01-05 09:37:45 发布
阅读量882 收藏 9
点赞数 7
文章标签: 安全性测试 功能测试 压力测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XINERTEL/article/details/135401486
版权
本文探讨了HTTP慢速攻击的原理,包括Slowloris、SlowHTTPPOST和SlowRead,以及如何通过设定阈值和使用ALPS进行防御。信而泰的ALPS工具支持这些攻击类型的仿真和统计分析,帮助防御者监控和应对这类威胁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

提到DDoS攻击,可能大家想到的是大流量高新建,如Cloudflare在2023 年第一季度 DDoS 威胁报告中指出,最大的一次攻击峰值高达每秒7100万个请求(RPS),另外观察到高达1.3Tbps的单次DDoS攻击。实际上针对HTTP服务器,有另一种DDoS攻击方法,反其道而行之,这种攻击方法称之为慢速攻击
HTTP慢速攻击是利用HTTP正常交互流程,以极低的速度往服务器发送HTTP请求,长时间占用HTTP服务器的资源而不释放,当HTTP服务器的并发连接数达到上限时,服务器将无法接受新的请求,从而导致拒绝服务。

目前常见的HTTP慢速攻击主要分为以下三种:

  • Slowloris(slow headers)
    攻击原理
    我们抓取一个正常的HTTP Get请求报文:
    在这里插入图片描述
    可以看到每一行都是以 \r\n 结尾,\r\n代表一行报文的结束也被称为空行(CRLF);整个命令的结尾会有\r\n\r\n(0d0a0d0a),当服务端收到含有 \r\n\r\n(0d0a0d0a)的报文时,就知道客户端发送结束,服务端要开始处理了。Slowloris攻击就是利用了这个机制,如下图,客户端每隔一段时间如5s发送一个HTTP头部,由于没有 \r\n\r\n(0d0a0d0a)结尾,服务端认为头部没有传送完成,会一直等待客户端发送数据,连接一直被占用。当这种请求占用完服务端的所有资源后,该服务端将无法提供正常的服务。
    在这里插入图片描述

  • Slow HTTP POST(Slow Body)
    攻击原理
    下面是一个正常的HTTP POST报文:
    在这里插入图片描述
    可以看到Content-Length字段是个比较小的值。服务器确认后,客户端将发送相关数据。Slow HTTP POST攻击过程则如下图所示,将Content-Length设置为一个较大的值(如抓包中的2000字节),然后以每隔一段时间去发送很小的内容(如抓包中每次发送一个test1234),从而和服务器保持长时间连接,当这种攻击数量大的时候,服务器就会拒绝服务,从而导致正常业务无法进行。
    在这里插入图片描述
    - Slow Read attack
    攻击原理
    下面是正常的HTTP Get大文件的交互过程:
    在这里插入图片描述
    客户端发送Get请求,同时设置windows size为65535,可以看到当Get命令被服务器接收后,服务器开始发送数据,windows size同样也为65535。以下列Slow Read Attack的抓包为例,将windows size被刻意设置为很小的值,如512,然后依次递减,这样就会造成服务器需要很长时间发送客户端所需数据,从而达到长时间占用服务器资源的目的。
    在这里插入图片描述

防御方法

设定阈值,当某个地址的每秒并发连接数超过阈值时,即触发HTTP报文检查,如果检测到该IP连续发送的多个请求报文均没有\r\n\r\n(0d0a0d0a)结束标识,则认定为攻击,将该IP加入黑名单,同时断开该IP的所有连接。同时针对HTTP头部传输时间进行限制,比如头部传输时间超过10s,则主动断开连接,要求客户端重连。

如何使用ALPS实现慢速攻击

信而泰基于PCT架构的新一代基于B/S架构的测试软件ALPS( Application Layer Protocol Simulator ),支持包括数据、语音、视频各种类型的真实的应用层流量仿真,除了应用层流量,也支持漏洞攻击、恶意代码、DDoS等攻击的仿真,对于上述的慢速攻击,目前也已支持,同时支持设置各项配置参数:
在这里插入图片描述

  • SlowLoris​(Slow HTTP Get)
    可自行设定每隔多久发送一个HTTP头部,头部分多少次发送。
    在这里插入图片描述

  • Slow Body(Slow HTTP POST)
    可自行设定HTTP发送间隔,以及自行定义Content Length长度、每次发送的payload内容。
    在这里插入图片描述

  • Slow Read(Slow Read Attack)
    可自行设置HTTP发送间隔,step为两个windows update报文中windows size减小的值,见Slow Read attack攻击原理部分的截图二。
    在这里插入图片描述

统计分析

信而泰ALPS L4-7测试平台支持慢速攻击的相关统计,其中包含session的统计项主要统计连接的帧数和帧速,包含throughput的统计项为攻击吞吐量相关。
Attack Client - Session和Attack Server -Session 主要统计TCP报文的收发情况;
Attack Client - HTTP xxx Attack Session 主要统计HTTP攻击报文的收发情况。
由于安全设备有阈值的设置,当攻击的速率超过设定阈值,攻击IP会被加入黑名单,此时攻击的TCP连接将无法完成。可以通过以上不同session的统计数据来确认是在HTTP攻击报文阶段被安全设备拦截还是TCP连接完全没建立成功。
在这里插入图片描述

XINERTEL
关注
博客
TSN时钟同步精度技术解析:TSN网络的基石与保障
04-25 921
为衡量从时钟调整本地时钟跟随主时钟的能力,即评估时钟同步的精度,通常采用测量从时钟相对于主时钟同步误差的方式。时钟同步精度测试对于保障网络系统的稳定运行和数据传输的准确性具有重要意义。在测试中,仪表充当 AS 协议 Master,DUT 作为 Slave,待时钟同步完成后,在示波器上捕捉仪表和 DUT 的脉冲信号并进行对比,以此确定被测设备时钟同步的精准度。本文围绕时钟同步精度测试展开,涵盖测试方法、信而泰测试方案等关键内容,旨在深入剖析时钟同步精度测试的全貌,为相关技术研究与应用提供有力参考。
博客
1588v2协议:精确时间同步技术深度解析与实测演示
04-23 835
1588v2协议是一种用于在网络中实现高精度时间同步的协议。它通过在网络中时间戳信息的精确传递与动态补偿机制,使得各个节点能够调整本地时钟,实现微秒级甚至纳秒级的时间同步。该协议广泛应用于电信、电力、工业自动化等领域。
博客
HTTP测试智能化升级:动态变量管理实战与效能跃迁
04-18 1069
在Web应用、API接口测试等领域,测试场景的动态性和复杂性对测试数据的灵活管理提出了极高要求。传统的静态测试数据难以满足多用户并发、参数化请求及响应内容验证等需求。例如,在电商系统性能测试中,若无法动态生成用户ID、订单号或实时提取令牌(Token),测试的覆盖率和真实性将大打折扣。HTTP测试中的变量功能应运而生,配合现有的表达式生成参数功能,为测试用例的灵活执行和结果验证提供了一条“智能通道”,有效提升测试效率和准确性。
博客
揭秘TSN网络“双保险”:IEEE 802.1CB协议测试解析
04-03 600
在传统网络中,一旦某个节点“罢工”,数据只能靠重传来恢复连接。但这对实时性要求极高的业务(如自动驾驶、工业控制)来说,简直是“致命伤”——延迟几毫秒,就可能引发严重后果。如何让数据传输既可靠又准时?TSN网络中的IEEE 802.1CB协议应运而生,它像一位聪明的“快递员”,通过“双包裹策略”确保数据必达。今天,我们将通过实际测试,揭开这项技术的神秘面纱!
博客
信而泰主动运维方案:让高校网络“看得见、管得住、用得好”
04-01 278
在数字化浪潮中,信而泰用技术重新定义运维——看得见每一字节的流动,管得住每一毫秒的延迟,用得好每一次连接的价值。
博客
信而泰PFC/ECN流量测试方案:打造智能无损网络的关键利器
03-27 748
(一)PFC(Priority-based Flow Control)PFC是基于IEEE 802.1Qbb标准的流量控制机制,通过为不同业务流量划分优先级,实现精细化拥塞管理。其核心逻辑如下:优先级队列划分:网络设备端口配置8个独立优先级队列(0-7),高优先级队列(如金融交易、AI训练流量)优先调度;反压信号交互:当接收端检测到某优先级队列拥塞时,向发送端发送PAUSE帧(反压信号),暂停对应队列的流量发送;
博客
TSN帧抢占测试:为数据传输打造“绿色通道”
03-27 711
在复杂多变的汽车、工业控制等领域中,数据传输的时效性和确定性至关重要。在TAS或CQF等调度整形机制中,将不同优先级业务映射到不同队列中,使高优先级业务在发送时不会受到低优先级业务的干扰,从而保证工业控制业务等高优先级业务的端到端低时延和确定性传输。然而,高优先级队列的服务时间是有限的,需要周期性的“开”和“关”,从而使其他类型业务也能进行传输。一方面,如果高优先级业务在队列为“关”的状态,则需要在队列中等待,进而增加其等待时延;
博客
信而泰推出有真实状态的RoCE测试特性
02-26 401
随着 AI 训练、高性能计算对网络低时延与高吞吐的需求激增,RoCE(RDMA overConverged Ethernet)技术已成为智算中心的核心底座。然而,传统无状态 RoCE 测试仅能验证设备基础功能,无法模拟真实业务场景的协议交互与动态负载,导致网络瓶颈难以暴露。信而泰科技突破性推出有状态 ROCE测试特性,实现真实的RoCE协议栈状态机模拟,为智算无损网络提供真场景、真压力、真诊断的评估方案,助力客户打造零隐患AI算力网络!
博客
信而泰CCL仿真:解锁AI算力极限,智算中心网络性能跃升之道
02-24 1071
智算中心(AIDC,Artificial Intelligence Data Center)是专门为人工智能应用提供算力支持的高性能数据中心,是人工智能技术与云计算、大数据、物联网等现代信息技术深度融合的产物。它基于最新的人工智能理论,采用前沿的计算架构,为AI模型的训练、推理和应用提供强大的算力服务、数据服务和算法服务。狭义定义:智算中心是“机房+网络+GPU服务器+算力调度平台”的融合基础设施,是传统数据中心的增值性延伸。
博客
信而泰推出POE交换机一站式自动化测试方案
12-12 818
传统POE交换机测试工序主要有扫条码,接网线,POE供电测试,流量测试,LED测试,信息核对等,基本都依赖于手工操作,效率偏低,并且LED测试,POE供电测试依赖人工判断是否良品,容易误测。通过测试平台,将扫描,插拔网线,POE供电测试,拨动开关,流量测试,LED检测等站位合并到一站,通过自动化夹具实现一键式自动化测试。员工只需要将DUT放置在夹具上面,自动化平台会自动扫码并接入MES平台执行测试,所有项目测试完成后,员工取下DUT,即完成一次测试,所有测试LOG会上传到MES。注:数据来自客户案例。
博客
信而泰网络测试仪校准解决方案
12-12 1010
移动互联网、大数据、云计算、5G技术、AI、大模型技术快速发展,网络中的流量呈指数上升,对现网的设备性能要求也日益提高,同时也对网络测试仪提出了更高的性能要求。网络测试仪作为评估网络设备性能的关键工具,直接影响设备测试的准确性和可靠性,北京信而泰科技股份有限公司凭借在网络测试仪行业的深厚积累,参照《数据网络性能测试仪校 准规范》(下称《校准规范》)要求,推出专用于网络测试仪校准的BigTao6200-G系列产品,旨在提供更高效、更精准的网络测试仪校准解决方案。三、信而泰计量校准仪表系列。
博客
信而泰发布IEEE 1588协议测试解决方案
12-12 579
在万物互联的数字时代,精确的时间同步已成为5G通信、工业互联网、智能电网等领域的核心需求。作为业界领先的测试解决方案提供商,信而泰科技现重磅推出IEEE 1588协议测试解决方案,为企业提供一站式时间同步测试服务。在这些应用中,如果时间同步出现偏差,哪怕只有几微秒,都可能造成严重后果。
博客
智能探针技术:实现可视、可知、可诊的主动网络运维策略
11-28 899
信而泰X-Vision IP网络主动监测系统通过在网络中部署探针,主动产生和实际业务相同的流量类型对网络、服务器、网络设备进行主动测量\探测,对网络端到端质量、业务系统服务健康度、网络节点响应健康度进行可视化,做到网络及服务异常状况尽快知晓,利用丰富网络诊断手段,提高诊断效率,完成对网络系统的可视、可知和可诊;总结来说,主动运维是一种前瞻性的方法,旨在通过预防和优化来减少问题的发生,而被动运维是一种反应性的方法,专注于在问题发生后进行修复。主动运维方法和被动运维方法的区别。
博客
信而泰防火墙安全测试解决方案:为网络安全保驾护航
10-31 1286
在当今数字化时代,网络安全至关重要。防火墙作为网络安全的第一道防线,其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案,旨在通过全面的测试流程,确保防火墙能够高效、准确地执行其安全任务。针对防火墙不同的功能点,我们可以进行相应的测试。
博客
如何运用信而泰测试仪实现802.1 QAV协议测试
10-25 908
Qav协议的作用是确保传统的异步以太网数据流不会干扰到AVB的实时数据流。AVB交换机把收到的各种数据分类,分别进入不同的转发队列,并重新赋予优先级,其中实时音视频流数据拥有最高优先级。工作原理为了避免冲突需要两种调度算法,一种是基于可信因子的整形算法CBS(credit based shaper transmission selection algorithm),一种是严格的优先级选择算法。各种不同的普通数据按照严格的优先级算法进行调度,当与流数据发生冲突时,则调用CBS算法。
博客
精准识别 高效回放 | 信而泰流量回放助力网络设备性能优化
09-26 637
在现实网络中,我们的设备或系统总会遇到各种稀奇古怪的问题。而这些问题中有很大一部分又无法在实验室中使用传统仪表无法复现。这个时候我们就想到将现场出现问题的流量拿到实验室中回放,来验证设备或系统的性能和稳定性。同时,网络设备对用户业务的识别和业务质量保障是网络管理和优化的关键组成部分。这就要求网络设备能够准确识别用户业务。而网络应用种类繁多,随着技术的发展和用户需求的变化,新的应用类型不断涌现,例如:搜索引擎、社交媒体、视频点播、在线游戏等。
博客
高效验证SRv6 TE Policy:解锁网络设备性能测试的关键技巧
09-02 1337
SRv6 TE Policy是在SRv6技术基础上发展的一种新的隧道引流技术。SRv6 TE Policy路径表示为指定路径的段列表(Segment List),称为SID列表(Segment ID List)。每个SID列表是从源到目的地的端到端路径,并指示网络中的设备遵循指定的路径,而不是遵循IGP计算的最短路径。如果数据包被导入SRv6 TE Policy中,SID列表由头端添加到数据包上,网络的其余设备执行SID列表中嵌入的指令。SRv6 TE Policy包括以下三个部分:
博客
VBRAS场景测试方法——如何高效验证网络设备的性能与稳定性
08-30 1369
01 vBRAS的产生背景为了解决传统BRAS中存在的设备资源利用率低、运维复杂和新业务开通缓慢等问题,业界提出了基于转发与控制分离的vBRAS系统架构。基于转发与控制分离的vBRAS系统架构包括CP和UP两种角色,由二者共同实现BRAS功能。CP(ControlPlane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。UP(UserPlane,用户平面):负责完成用户业务流量转发和流量控制等转发平面功能。02 系统架构组成1、控制平面控制平面采用vBRAS-CP进行池化
博客
探索802.1X:构筑安全网络的认证之盾
08-21 2530
首先,让我们了解一下什么是802.1x。802.1x是一个基于端口的网络访问控制机制,由IEEE(电气电子工程师学会)开发,属于IEEE 802.1标准家族。它的主要作用是通过认证管理用户和设备对网络的访问权限。更通俗地说,802.1x就像是网络的门卫,负责检查每一个试图进入网络的设备或用户的身份,只有通过认证的合法用户才能进入。这不仅可以防止未授权的设备接入,还可以确保网络的安全和稳定。
博客
将真实世界带入实验室—如何使用ALPS进行网络损伤仿真测试
07-31 1134
信而泰X-Compass系列网络损伤仪配合信而泰BigTao/DarYu系列网络测试仪串接在测试网络中,针对网络测试仪发生的流量引入带宽限制、延时/抖动、丢包、乱序、重复报文、物理链路损伤等损伤仿真功能,并支持同时设立8类场景,每个损伤应用场景可针对特定的流量进行过滤,并支持独立配置各类损伤及组合,以验证在特定网络损伤模型下(如:特定的丢包率、特定的时延及抖动下)对上层应用业务的影响。既然真实网络环境中的网络损伤是不可避免的,我们能否在测试网络环境中模拟真实的网络环境?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值