六小组-cc攻击变异品种.pptx

CC攻击的变异品种

慢速连接攻击?第六小组黄晓梧、孙鑫鑫

安全专家罗伯特·汉森(RobertHansen)近日表示，Apache和其它Web服务器存在一个重大安全漏洞，可被黑客利用发起一种新拒绝服务(DoS)攻击。汉森将这种攻击称为“Slowloris”。传统的DoS攻击往往是通过发送大量的数据来达到使网站宕机的目的，而Slowloris只需通过少数数据包就能实现同样的效果。汉森表示，一个典型的DoS攻击可能需要1000台计算机来让某个Web服务器宕机，因为攻击者需要它们发送大量数据来占满该网站线路的带宽，从而让别人无法再访问该服务器。而Slowloris不用如此，攻击者只需要在攻击开始的时候发送1000个左右数据包，然后每分钟继续发送200-300个数据包即可。Slowloris并不是通过大流量数据来轰炸一个网站，而是通过发送局部http请求来占据一个Web服务器的可用连接。汉森表示，“你发送了一个请求，但你从没有实际完成这个请求，如果你发送数百个局部请求，Apache将等待很长时间来等每一个连接告诉它需要执行的内容。”汉森表示，Apache服务器一般会限制同时打开的线程的数量，如果它未加限制，攻击者则可以使用内存耗尽或其他形式的手法来对其攻击。目前存在该漏洞的Web服务器包括Apache1.x、Apache2.x、dhttpd、GoAheadWebServer和Squid，但这种攻击对IIS6.0、IIS7.0或lighttpd无效。IIS等服务器使用“工作池”，可以打开其资源支持的任意多连接。据汉森表示，该攻击不会影响使用负载均衡技术的大型网站。

什么是慢速攻击CC攻击跟DDOS攻击本质上是一样的，都是以消耗服务器资源为目的。目前看来，它主要针对WEB应用程序比较消耗资源的进行疯狂请求，使服务器的CPU100%并长时间保持，从而达到DOS攻击的目的。慢速攻击的目的就是设法让服务器等待，使服务器保持链接等待的状态，消耗资源。

慢速攻击的分类SlowheadersSlowbodySlowread

SlowheadersHTTP协议规定，HTTPRequest以\r\n\r\n（0d0a0d0a）结尾表示客户端发送结束，服务端开始处理。那么，如果永远不发送\r\n\r\n会如何？Slowloris就是利用这一点来做DDoS攻击的。攻击者在HTTP请求头中将Connection设置为Keep-Alive，要求WebServer保持TCP连接不要断开，随后缓慢地每隔几分钟发送一个key-value格式的数据到服务端，如a:b\r\n，导致服务端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者傀儡机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。

Slowbody在POST提交方式中，允许在HTTP的头中声明content-length，也就是POST内容的长度。在提交了头以后，将后面的body部分卡住不发送，这时服务器在接受了POST长度以后，就会等待客户端发送POST的内容，攻击者保持连接并且以10S-100S一个字节的速度去发送，就达到了消耗资源的效果，因此不断地增加这样的链接，就会使得服务器的资源被消耗，最后可能宕机。

Slowread采用调整TCP协议中的滑动窗口大小，来对服务器单次发送的数据大小进行控制，使得服务器需要对一个回应分成很多个包来发送。要使这种攻击效果更加明显，请求的资源要尽量大。

哪些服务器易被慢速攻击慢速攻击主要利用的是thread-based架构的服务器的特性，这种服务器会为每个新连接打开一个线程，它会等待接收完整个HTTP头部才会释放连接。比如Apache会有一个超时时间来等待这种不完全连接（默认是300s），但是一旦接收到客户端发来的数据，这个超时时间会被重置。正是因为这样，攻击者可以很容易保持住一个连接，因为攻击者只需要在即将超时之前发送一个字符，便可以延长超时时间。而客户端只需要很少的资源，便可以打开多个连接，进而占用服务器很多的资源。

经验证，Apache、httpd采用thread-based架构，很容易遭受慢速攻击。而另外一种event-based架构的服务器，比如nginx和lighttpd则不容易遭受慢速攻击。

如何防护慢速攻击Apache服务器现在使用较多的有三种简单防护方式。mod_reqtimeout：Apache2.2.15后，该模块已经被默认包含，用户可配置从一个客户端接收HTTP头部和HTTPbody的超时时间和最小速率。如果一个客户端不能在配置时间内发送万头部或body数据，服务器会返回一个408REQUESTTIMEOUT错误。

配置文件如下：IfModule