Slowhttptest慢速攻击Slowread模式攻击与检测
目录
攻击代码:
攻击代码解析:
网站沦陷
补充:
攻击代码:
slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u "url" -p 3攻击代码解析:
\\ -C 8000 (建立链接数8000个) -X (字节最大长度的跟踪数据结束) -r 200(每秒链接200个) -w(slow read模式中指定tcp窗口范围下限) -y 1024 (slow read模式中指定tcp窗口范围上限) -n 5(每次操作的间隔时间) -z 32 (在每次的read()中,从buffer中读取数据量) -K 3 (重复请求在同一连接慢读测试) -u “xxx” (指定的URL) -p 3(等待时间)
网站沦陷
当出现no的时候...就是网站沦陷的时候
检测特征:
slow read:向服务器发送一个正常合法的read请求,请求一个很大的文件,但把TCP滑动窗口设置得很小,服务器就会以滑动窗口的大小切割文件,然后发送,这是文件会长期存放在内存中,消耗资源。
攻击者与服务器建立连接后,会发送完整的请求给服务器,一直保持连接状态,然后以极低的速度读取Response,或者让服务器觉得客户端很忙,消耗服务器的连接和内存资源。
补充:
slow read attack则是控制TCP的 windows size 的值
客户端向服务端请求大数据,服务端发现,客户端低速读取,采取分片方式发送,分片大小由tcp窗口决定,文件长时间滞留在内存中,告警报文使服务器进入等待,进一步加剧资源消耗,接受—等待—接受,长时间占用连接和资源,造成DOS攻击
服务器会对这个值进行分片,但是由于攻击设置了TCP滑动窗口小,所以服务器分片会很小。
仅个人理解。