CC攻击变异品种——慢速攻击.PDFVIP

前沿技术 CC攻击的变异品种——慢速攻击 武汉研发中心 彭元 DDoS 攻击凭借其严重的后果以及简单的操作，一直都是攻防中重要的攻击方式。未 知攻焉知防，随着 DDoS 攻击的演变，信息安全的防御也在同步升级。发展到今天， DDoS 攻击已经多种多样。本文简要分析了慢速攻击以及防护策略。 C 攻击的本名叫做“Challenge Collapsar”，是一种专门针对 术攻击的威力。 C于Web 应用层的FLOOD 攻击，攻击者操纵网络上的肉鸡， 这个攻击的基本原理如下：对任何一个开放了HTTP 访问的 对目标Web 服务器进行海量Http Request 攻击，直到服务器带宽 服务器HTTP 服务器，先建立了一个连接，指定一个比较大的 被打满，造成了拒绝服务。 Content-Length，然后以非常低的速度发包，比如1-10s 发一个字 由于伪造的HTTP 请求和客户正常请求没有区别，对于没有流 节，然后维持住这个连接不断开。如果客户端持续建立这样的连接， 量清洗设备的用户来说，这无疑就是噩梦。而我们今天谈的这种攻 那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。 击方式，就是CC 攻击的一个变异品种——慢速攻击。 和CC 攻击一样，只要Web 服务器开放了Web 服务，那么它 什么是慢速攻击 就可以是一个靶子，HTTP 协议在接收到Request 之前是不对请求 一说起慢速攻击，就要谈谈它的成名历史了。HTTP Post 慢速 内容作校验的，所以即使你的Web 应用没有可用的form 表单，这 DoS 攻击第一次在技术社区被正式披露是2012 年的OWASP 大会 个攻击一样有效。 上，由Wong Onn Chee 和Tom Brennan 共同演示了使用这一技 在客户端以单线程方式建立较大数量的无用连接，并保持持续 63 前沿技术 发包的代价非常的低廉。实际试验中一台普 通PC 可以建立的连接在3000 个以上。这 对一台普通的Web server，将是致命的打 击。更不用说结合肉鸡群做分布式DoS 了。 鉴于此攻击简单的利用程度、拒绝服务 的后果、带有逃逸特性的攻击方式，这类攻 击一炮而红，成为众多攻击者的研究和利用 对象。 慢速攻击的分类 •Slow body ：攻击者发送一个HTTP POST 请求，该请求的Content-Length 头部值很 发展到今天，慢速攻击也多种多样，其 大，使得Web 服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据， 种类可分为以下几种： 但攻击客户端每次只发送很少量的数据，使该连接一直保持存活，消耗服务器的连接和内存 •Slow headers ：Web 应 用 在 处 理 资源。 HTTP 请求之前都要先接收完所有的HTTP 头部，因为HTTP 头部中包含了一些Web 应用可能用到的重要信息。攻击者利用这 点，发起一个HTTP 请求，一直不停的发送 HTTP 头部，消耗服务器的连接和内存资源。 抓包数据可见，攻击客户端与服务器建 立TCP 连接后，每30 秒才向服务器发送一 个HTTP 头部，而Web 服务器再没接收到 两个连续的\r\n 时，会认为客户端没有发送 完头部，而持续的等待客户端发送数据。 64 前沿技术 抓包数据可见，攻击客户端与服务器建立TCP 连接后，发送了完整的HTTP 头部， 使 用 较 多 的慢 速 攻 击 工 具 有： POST 方法带有较大的Content-Length，然后每10s 发送一次随机的参数。服务器因为 Slowhttptest 和Slowloris。 没有接收到相应Content-Length 的body，而持续的等待客户端发送数据。 哪些服务器易被慢速攻击 •Slow read ：客户端与