网站安全防护

服务咨询热线:

17202014336

网站安全检测,ddos防护

被缓慢cc攻击怎样防御?

当前位置: 首页> 安全研究> 被缓慢cc攻击怎样防御?
时间:2021-08-18

  熟悉网络安全的人一定听说过DDoS攻击和CC攻击,DDOS主要用于IP攻击,CC攻击主要是用于网页攻击,两者都是通过控制大量的僵尸网络中的肉鸡流量对目标发起攻击,对于没有高防服务的企业来说,DDOS主要是用于攻击网页。而两种攻击方式都在不断“进化”,使得网站安全检测变得越来越难。


  一谈到慢速进攻,就要谈到他的成名历史。HTTPPost慢速DDoS攻击在技术社区中首次被正式披露为2012年的OWASP大会上,WongOnnChee和TomBrennan一起展示了利用这种技术ddos防护的威力。


  “创途安全”今天讲的是CC攻击的变种之一,即慢速攻击。


  低速攻击的攻击原则:

网站安全检测
  对于任何打开HTTP访问的服务器HTTP服务器,首先建立一个连接,指定一个较大的content-length,然后以很低的速度调用,比如1-10s发送一个字节,然后保持这个连接不停地打开。若客户机持续建立这种连接,则服务器上可用的连接将逐渐占满,从而导致服务被拒绝。


  与CC攻击一样,只要Web服务器打开Web服务,它就可能成为目标,HTTP协议在接收到request之前不会检查请求内容,因此即使Web应用没有可用的form表单,这种攻击也是有效的。


  当客户机以单线程的方式建立大量无用的连接,并维持持续发包的成本非常低。一个普通PC可以在实际测试中建立超过3000个连接。对于一个普通的webserver,这是一个致命的打击。就不用说采用分布式DOS结合的鸡群了。


  针对这种攻击的简单利用程度、拒绝服务后果、具有逃逸特征的攻击方式等特点,这种攻击一炮而红,成为众多攻击者研究和利用的对象。


  低速攻击类型:


  Slowbody:攻击者向Content-Length头部发送了一个HTTPPOST请求,这使得Web服务器或代理认为客户机发送大量数据。服务端将保持连接以准备接收数据,但是攻击客户机每次发送的数据很少,这使得这个连接持续存在,消耗服务器的连接和内存资源。


  Slowheaders:Web应用程序在处理HTTP请求前,首先收到所有的http头,因为HTTP头部包含了一些Web应用可能使用的重要信息。攻击者利用这一点,发起HTTP请求,不断地发送HTTP头部,消耗服务器的连接和内存资源。


  Slowread:客户机连接到服务器并发送HTTP请求,客户端将向服务器端发送完整的请求,然后继续保持这种连接,以很低的速度读取Response,例如,很长一段时间客户机不读取任何数据,发送ZeroWindow到服务器,让服务器误以为客户端很忙,直到连接快超时之前才读取一个字节,消耗服务器的连接和内存资源。


  那些服务器容易受到慢速的攻击。


  慢速攻击主要利用thread-based体系结构服务器的特性,每个新连接有一个线程,并在接收整个HTTP头部之后才释放连接。例如,Apache将有一个等待此未完全连接的超时(默认值为300s),但该超时将在收到客户端发送的数据后重新设置。正因如此,攻击者可以轻松地保持一个连接,因为攻击者仅需在超时前发送一个字符,就可以延长它的超时。而且客户只需要很少的资源,就可以打开多个连接,从而占用服务器大量的资源。


  经过验证,httpd采用thread-based架构,很容易受到慢速攻击。与event-based体系结构类似的其他服务器,如nginx和lighttpd就不会受到慢速攻击。


  防卫原则。


  考虑到HTTP慢速攻击的特点,Anti-DDoS设备检查每秒HTTP并发连接数,当HTTP并发连接数超过每秒的HTTP并发连接数时,会触发HTTP消息检查,检查以下任何一种情况,都认为受到HTTP慢速连接攻击,则将该源IP地址判定为攻击源,加入动态黑名单,同时断开此IP地址与HTTP服务器的连接。


  一个连续多个HTTPPOST消息的总长度很大,但它的HTTP负载的长度很小。


  一个连续的HTTPGET/POST消息的消息头没有任何消息头。


  以上就是小编帮大家整理的内容,希望能帮助到您,更多请您关注我们的创途安全官网新闻!

上一篇:waf的作用是什么?waf的主要功能是什么? 下一篇:服务器怎样保护以避免受到攻击的风险?
最新文章
渗透测试
17202014336
渗透测试
网站安全检测
APP安全检测