科来常见问题特征总结.docxVIP

常见问题特征总结HTTP慢速拒绝服务攻击故障现象网站业务对互联网提供WEB服务，在没有任何征兆的情况下所有用户突然不能访问WEB应用。攻击诊断及定位通过重启服务器以及WEB服务，能够恢复正常工作。但在几分钟后依然存在网站不能访问的情况。怀疑防火墙等安全设备拦截了用户的访问，但查询所有策略并未发现异常，可能不是安全设备造成的影响。通过网络管理软件等监控设备，并未发现大规模的流量突发。通过端口镜像的方式接入数据包分析设备，发现存在国外地址针对网站的慢速拒绝服务攻击。通过对数据包的分析，可以看到攻击者通过HTTP POST方法，攻击者向网站目录上传文件，HTTP请求头部Content-Length字段宣告要上传10000字节数据，但后续每间隔几秒攻击者才向服务器发送1个或几个字节有效数据，这样的行为无论网站是否支持向根目录POST上传数据，服务器都需要先占用10000字节资源用于接收攻击上传的数据，大量类似的会话就会导致服务器无法正常被访问，形成应用层拒绝服务攻击。问题解决通过拦截攻击者IP的方式，同时通过WAF或其他防护设备阻断所有向网站“POST /”的HTTP请求，阻止类似特征的攻击行为。数据包分析慢速拒绝服务攻击特征总结HTTP慢速拒绝服务攻击有别于带宽消耗类的攻击，其特点是难以通过常规的网络手段诊断及定位。根据上述数据包分析，可以总结出此类拒绝服务攻击的网络特征：攻击者会短时间