遭遇”慢连接”DOS攻击小记

最新推荐文章于 2024-09-11 17:22:42 发布
转载 最新推荐文章于 2024-09-11 17:22:42 发布 · 2.9k 阅读 · 2

 晨,网站访问突然变得非常困难,最初怀疑机房的路由出问题(曾经出过一次),和机房联系后更换了路由,但问题仍旧。

    中午,偶然发现有大量处于SYN_RECV状态的链接,google后怀疑遭到SYN Flood攻击。

    查询处于SYN状态的连接数,可以用这个命令:

    netstat -atn | grep -c SYN

    查询连接最多的ip:

    netstat -atn | grep “SYN” | awk ‘{print $5}’ | awk -F’:’ ‘{print $1}’ | sort -nr | uniq -c | sort -nr | head

    发现有若干ip的连接数在200以上,基本确定为SYN攻击。

    然后开始用手工方式BAN掉这些IP:

    iptables -A INPUT -p tcp -s 攻击者ip -dport 80 -j REJECT

    因为在上班,没有更多时间处理,只能隔一阵子BAN一些连接数超过50的IP,勉强维持网站的访问。

    9.19凌晨

    在几位朋友的帮忙下,改了一个脚本,把上述工作改成了自动执行。每隔一分钟检查SYN状态下连接数过高的ip,然后BAN掉。

    9月19日

    脚本非常有效,除load稍高之外,访问正常。

    9月20日

    攻击方发现SYN无效后,改为使用WAIT状态的连接攻击。这个相对好办,只要把上述代码中的SYN改成 “SYN\\|WAIT”即可。如:

    netstat -atn | grep -c “SYN\\|WAIT”

    9月22日

    攻击加剧,可能是攻击方调用了更多的机器发动攻击。服务器load高达800-900,ssh完全无法登录。

    通知机房停掉了电信ip,对方果然不知道这机器的网通ip。电信ip停掉后,顺利地通过网通ip登入Shell。

    暂时没有更好的办法,改了一些shell内核参数,包括启用syn cookie等,然后把自动BAN IP的脚本改为超过30个慢连接就BAN。

    但这样很容易误杀,比如一些学校、公司和网吧用户,他们是同一网站ip的。

    这样改了之后又勉强撑住。

    9月23日

    终于找到一个治本的办法:使用nginx当apache的反向代理。

    nginx是老毛子开发的一个web服务器和反向代理,把它架在apache的前面,作为前端web服务器。

    因为它本身具有防慢连接的机制(原理不说了,google一大堆),所以先把所有对80端口的访问交由nginx来处理。

    对于图片/js/css等静态文件,由nginx直接返回,不交给apache。

    而php文件才交给apache处理。

    TIP:这么做还有一个好处,如果把nginx的connection设为keep-alive,而apache设为close,整体效率还会高很多。

    这么一来,居然效果奇好。apache的进程数直接从200+降为15左右,而nginx本身的进程才2个,系统load直接下降。

    而且对慢连接,即使有几个ip的WAIT状态链接高达1000+也对网站访问毫无影响。

    TIP:记得把apache设为只侦听127.0.0.1的访问,以免外部直接绕过nginx冲击apache。

    这里有一篇文章讲这个结构:http://kovyrin.net/2006/05/18/nginx-as-reverse-proxy/

Mosquitto Websocket 不能连接,解决过程小记
bicijinlian的专栏
05-22 3855
Mosquitto Websocket 不能连接,解决过程小记 新安装完系统,启用 Mosquitto 的 Websocket 功能后,MQTTX 客户端 一直无法连接。问题困扰了几天,中途数次放弃,最终完美解决。记录下解决问题的过程和思路,一来记录下问题解决方案;二来记录下解决的过程与思路,总结一般解决问题的方法。 问题 安装好 Mosquitto, 配置中启用 “允许匿名连接”及配置好 Websocket 监控项,启动服务。使用 MQTTX 客户端,mqtt使用mqtt协议能连接上,但是使用 ws 协议
python遗传算法有多_遗传算法框架GAFT优化小记
weixin_39624769的博客
12-30 1005
前言前段时间一直在用自己写的遗传算法框架测试算法在优化力场参数的效果,但是跑起来效率很,因为适应度函数需要调用多次力场程序计算能量,但是还是比我预想中的我也没有及时对程序进行profiling和优化。直到放假前在github有个使用gaft做SVM参数优化的童鞋开了个issue中说道在gaft优化的过程中会大量调用适应度函数,这才使我在国庆放假期间对gaft进行了profiling找到程序瓶颈...
软件安全测试·DoS·HTTP慢速攻击
06-22
一、攻击原理 2 二、测试用例设计 3 三、测试用例执行结果 4 附:slowhttptest工具使用介绍 5 1. 官方示例 5 2. 结果查看 5
转帖:HTTP POST慢速DOS攻击初探
茂森的专栏
03-07 7056
HTTP POST慢速DOS攻击初探December 28th, 2010 Posted in 应用安全及黑客攻击 , 软件架构与设计1. 关于HTTP POST慢速DOS攻击<br />HTTP Post慢速DOS攻击第一次在技术社区被正式披露是今年的OWASP大会上,由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。他们的slides在这里:<br />http://www.darkreading.com/galleries/security/applicat
http攻击
u012980075的博客
08-08 1067
慢速攻击可以让没有防护的服务器或者网络设备瘫痪能说不算漏洞? 我就总结一下自己是怎么复现的吧 首先可以使用扫描器来扫出这个漏洞 但是你写报告里面别人肯定是不能信服的啊我们就来用工具来验证一下吧 第一种方法就是使用kali自带的slowhttptest试试 安装我就不多说了网上都有 我们来看看怎么使用 在终端使用命令 slowhttptest -c 1000 -H ...
慢速连接攻击有几种攻击类型
蔚可云的博客
05-31 1456
慢速连接攻击,是DDoS攻击的一种形式,它与其他DDoS攻击有很大的不同,但均会最终导致服务器拒绝服务。那么什么是慢速连接攻击呢?它有几种攻击类型? 一、什么是慢速连接攻击 我们知道,DDoS攻击的最终目的,是瘫痪目标服务器,使其拒绝为正常用户服务。大多数DDoS会利用协议或系统的缺陷,向目标服务器发送大量的数据,使服务器不堪重负而宕机。但慢速连接攻击却反其道而行。它的攻击特点就是一个字“”。 慢速连接攻击的速度实在太,以至于服务器为了接收数据,一直处于等待状态,等待队列达到一定程度时,服务器
一次网站遭受dos攻击解决历程
tanjun592的博客
07-03 549
官网访问失败 日志最直接的报错是“GetConnectionTimeoutException”,于是我们病急乱投医一样尝试去解决这个问题。
Beatles小记
03-02
这篇小记主要处于两方面考虑:首先,希望打破一提到海量数据分析,就只有hadoop基础上的一系列工具,更多的时候很多企业需要的是更轻量的设计(办喜酒杀猪杀鸡未必都要用一把刀),因此将开放平台基础分析组件重构...
精选资源
python进行爬虫小记
01-15
Python爬虫技术是一种用于自动化网页数据抓取的编程方法,尤其适合初学者快速入门。Python在爬虫领域具有显著优势,因为其拥有丰富的第三方库,如requests、lxml和parsel等,使得编写爬虫代码变得简洁高效。...
慢速连接攻击
热门推荐
qinyushuang的专栏
01-29 2万+
提起攻击,第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之,以著称,以至于有些攻击目标被打死了都不知道是怎么死的,这就是慢速连接攻击。 slowhttptest是一款对服务器进行攻击的测试软件,包含了几种攻击方式,像Slowloris、SlowHTTP POST、Slow Read attack等。 总而言之,该工具的原理就是设法让服务器等待,当服务器在保持连接等待时,就消耗
HTTP连接攻击的原理和防范措施
m0_66326520的博客
09-11 1947
HTTP慢速攻击(Slowloris Attack)是一种利用HTTP协议特性进行的攻击方式。攻击者通过发送大量的半开连接请求到目标服务器,每个连接请求只发送少量的数据,并长时间保持连接不断开。这样,攻击者可以逐渐占满服务器的连接资源,导致服务器无法处理正常的请求,从而造成拒绝服务(DoS)或分布式拒绝服务(DDoS)的效果。由于这种攻击方式发送的请求都是合法的,因此很难被传统的防火墙或入侵检测系统所识别。同时,慢速攻击还可以与其他攻击方式相结合,形成更为复杂的攻击链,进一步提高攻击的成功率和隐蔽性。
Dos慢速攻击
汪敏的博客
04-25 490
如果测试结束后connected数量较多,closed数量很少或0,说明之前建立的慢速攻击测试连接没有关闭,那么就会存在漏洞。测试结果为“Exit status:== No open connections left==",代表无此漏洞。
连接攻击是什么,如何进行防御
HoewDec的博客
01-17 555
攻击者通过建立大量的慢速连接,使得服务器需要花费大量的时间和资源来处理这些连接,从而导致正常的用户请求被阻塞或延迟。连接攻击是一种独特的网络攻击方式,它利用了网络延迟和资源消耗的特性,通过故意减连接速度来耗尽目标资源,从而达到攻击的目的。在面对连接攻击时,SCDN能够检测到攻击流量,并采取相应的防御措施,如清洗恶意流量、阻断恶意请求等,从而保护内容服务器的稳定运行。通过加速内容传输、隐藏源站、提供安全防护和负载均衡等手段,SCDN可以降低连接攻击的影响,保护内容服务的可用性和稳定性。
Slowloris DoS攻击的原理与简单实现
沉在海里的鱼的博客
12-05 4163
Slowloris 攻击是我在李华峰老师的书——《Metasploit Web 渗透测试实战》里面看的,感觉既简单又使用,现在这种攻击是很容易被防护的啦。不过我也不敢真刀实战的去试,只是拿个靶机玩玩罢了。 废话还是写在结语里面吧。(划掉)结语可以不看(划掉) Slowloris 是一种资源消耗类DoS攻击,它利用部分HTTP请求进行操作。也叫做慢速攻击,这里的慢速并不是说发动攻击,而是访问一条链接的速度。Slowloris攻击的功能是打开与目标Web服务器的连接,然后尽可能
Dos攻击修复(slowhttptest)
iokla
09-11 6248
Slow HTTP Denial of Service Attack 中文叫作缓的HTTP攻击漏洞,网上多数是tomcat的修复方法,然而实际上会碰到iis,nginx,apache等web服务器的这个问题,于是就有了这个修复集合。 漏洞描述: 利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。 修复方法: 对
慢速DOS攻击漏洞
JesJiang的博客
09-26 2709
漏洞描述: 利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。 修复方法: 对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为8秒。 tomcat tomcat配置文件conf...
java nio 如何处理慢速连接
iteye_7425的博客
10-04 206
java nio 如何处理慢速连接 对企业级的服务器软件,高性能和可扩展性是基本的要求。除此之外,还应该有应对各种不同环境的能力。例如,一个好的服务器软件不应该假设所有的客户端都有很快的处理能力和很好的网络环境。如果一个客户端的运行速度很,或者网络速度很,这就意味着整个请求的时间变长。而对于服务器来说,这就意味着这个客户端的请求将占用更长的时间。这个时间的延迟不是由服务器造成的,因此C...
小记账本 uniapp
最新发布
01-24
### 使用 UniApp 开发小记账本应用程序 #### 项目概述 生活记账小程序通过前端 Vue 和 UniApp 设计开发,后端采用 SpringBoot 提供数据接口支持。主要功能模块包括首页展示、分类记账以及微信登录状态管理[^1]。 #### 创建新项目 首先安装 HBuilderX 或者其他 IDE 工具来创建一个新的 UniApp 项目: ```bash npm install -g @dcloudio/uni-cli uni create myAccountBookProject ``` 进入项目目录并初始化必要的配置文件。 #### 配置 App.vue 生命周期函数 为了更好地控制应用生命周期,在 `App.vue` 中定义如下几个重要钩子函数用于处理不同场景下的逻辑操作: - **onLaunch**: 当整个程序启动时调用此方法, 可以在这里做一些全局性的初始化工作. - **onShow**: 页面每次从前台切到后台再返回前台都会触发这个事件, 合适用来刷新某些实时变化的内容. - **onHide**: 对应于当用户点击 Home 键使 APP 进入后台运行模式时执行的动作. 这些设置有助于提升用户体验流畅度和响应速度[^2]. #### 数据绑定与交互实现 确保所有的业务逻辑都放置在 methods 下面,并且避免 data 属性名称同 method 名冲突以免造成不必要的错误;另外注意检查 HTML 标签内部是否存在重复属性声明尤其是集成第三方 UI 组件库 uView-ui 的时候要格外小心[^3]: ```html <template> <!-- 记录条目输入框 --> </template> <script> export default { name: 'RecordEntry', data() { return { recordType: '', amount: null, date: '' } }, methods:{ addNewRecord(){ // 添加新的财务记录... } } } </script> ``` #### 接口对接与缓存机制 对于前后端分离架构的应用来说,合理的 API 路由规划至关重要。这里推荐使用 RESTful 风格的服务端点配合 axios 发起 HTTP 请求完成增删改查等基本 CRUD 功能。与此同时引入 Redis 做为临时存储介质加速频繁访问的数据读取效率降低 MySQL 查询压力。 #### 微信开放能力接入 如果计划让这款理财工具具备社交分享特性,则需按照官方文档指引注册成为微信公众平台开发者账号获得 appid 权限认证之后才能正常使用诸如支付等功能服务。此外还可以考虑加入直播营销插件吸引更多潜在客户群体关注产品动态[^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值