慢速攻击不算漏洞？

慢速攻击可以让没有防护的服务器或者网络设备瘫痪  能说不算漏洞？

我就总结一下自己是怎么复现的吧 

首先可以使用扫描器来扫出这个漏洞

但是你写报告里面别人肯定是不能信服的啊   我们就来用工具来验证一下吧

第一种方法就是使用kali自带的slowhttptest试试

安装我就不多说了   网上都有

我们来看看怎么使用

在终端使用命令

slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u 目标地址(url或者是ip) -x 24 -p 3

我们看到里面service available字段里面是No  

就是我们慢慢持续的发送包经过125秒之后就到达不了服务器了  也就是服务器就已经停止服务了。

此时我们去访问页面发现页面已经崩了

 

其实验证到这里就可以写报告了   但是今天遇到的这个客户非要我给他的网站用脚本打一下DOS   ....

打打也无妨   反正是授权的

我们使用脚本去打

脚本这个我就不贴了   太多了   我已上传附件到CSDN了，想要的可以自己去下载

我就来演示一下怎么打的

torshammer.py -t 目标地址(可以是主机或者域名，但是域名需要去掉http  /) -r 1000

看一下网站的网络的网络延时 是不是跟我们预想的一样还是直接就给网站打崩了    

大家记住-r 参数  最多加到2000 就不要加了