DoS与DdoS攻防分析——应用层DoS攻击

应用层DoS

操作系统自身漏洞利用

缓冲区溢出漏洞

向目标函数随机提交数据，特定情况下数据覆盖临近寄存器或内存
影响：远程代码执行、DoS
利用模糊测试方法发现缓冲区溢出漏洞

应用服务漏洞

服务代码存在漏洞，遇异常提交数据时程序崩溃
应用处理大量并发请求能力有限，被拒绝的是应用或OS
Searchsploit ms12-020 这个命令是搜索kail下面相关漏洞利用工具

第三方软件

CesarFTP 0.99 服务漏洞
ftp_fuzz.py # MKD/RMD
MS12-020远程桌面协议DoS漏洞

CC攻击

是一种快速攻击，这也是少数几个国产的攻击方式
杀伤力很大
原理
一个网站前端最终一定是要连接数据库的，CC攻击就是以超级快的速度模拟正常的请求页面的参数，给数据库施加压力

Slowhttptest

简介

低带宽应用层慢速DoS攻击（相对于CC等快速攻击而言的慢速)

最早由Python编写，跨平台支持（Linux、win、Cygwin、OSX) 尤其擅长攻击apache、tomcat (几乎百发百中)

危害

apache、tomcat 未做优化或反向代理，一打一死。防火墙web页面可以打死，但防火墙相关功能可正常运行。

攻击者发\r\n说明数据还没发完，请求服务器等待。

原理

耗尽应用的并发连接池，类似于Http层的Syn flood

HTTP协议默认在服务器全部接收请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器时钟为其保留连接资源池占用，此类大量并发将导致DoS

攻击方法

Slowloris
Slowloris特点:完整的http请求结尾是\r\n\r\n，攻击发\r\n…

Slow HTTP POST
Slow POST: HTTP头content-length声明长度，但body部分缓慢发送

Slow Read attack攻击
与slowloris and slow POST目的相同，都是耗尽应用的并发连接池
不同之处在于请求正常发送，但慢速读取响应数据
攻击者调整TCP window窗口大小，是服务器慢速返回数据

Apache Range Header attack
客户端传输大文件时，体积查过HTTP Body大小限制时进行分段
耗尽服务器CPU、内存资源