Slowhttptest慢速攻击Slowread模式攻击与检测

目录

攻击代码：

攻击代码解析：

网站沦陷

补充：

---

攻击代码：

slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u "url" -p 3

攻击代码解析：

\\ -C 8000 （建立链接数8000个） -X （字节最大长度的跟踪数据结束） -r 200(每秒链接200个)   -w（slow read模式中指定tcp窗口范围下限）  -y 1024 (slow read模式中指定tcp窗口范围上限) -n 5(每次操作的间隔时间)  -z 32 (在每次的read()中，从buffer中读取数据量） -K 3  (重复请求在同一连接慢读测试)  -u “xxx” (指定的URL)   -p 3（等待时间）

网站沦陷

当出现no的时候...就是网站沦陷的时候

检测特征：

 slow read：向服务器发送一个正常合法的read请求，请求一个很大的文件，但把TCP滑动窗口设置得很小，服务器就会以滑动窗口的大小切割文件，然后发送，这是文件会长期存放在内存中，消耗资源。

攻击者与服务器建立连接后，会发送完整的请求给服务器，一直保持连接状态，然后以极低的速度读取Response，或者让服务器觉得客户端很忙，消耗服务器的连接和内存资源。

补充：

slow read attack则是控制TCP的 windows size 的值

客户端向服务端请求大数据，服务端发现，客户端低速读取，采取分片方式发送，分片大小由tcp窗口决定，文件长时间滞留在内存中，告警报文使服务器进入等待，进一步加剧资源消耗，接受—等待—接受，长时间占用连接和资源，造成DOS攻击

服务器会对这个值进行分片，但是由于攻击设置了TCP滑动窗口小，所以服务器分片会很小。

仅个人理解。