Slow HTTP Denial of Service Attack

Posted 2020-10-24 Panisme

一、漏洞描述

利用HTTP POST请求时，指定一个非常大的content-length，然后以很低的速度发包，比如10-100s发一个字节并保持这个连接不断开。当客户端连接数达到一定程度，占用服务器的所有可用连接，从而导致DOS。

 

二、漏洞利用

渗透工具：slowhttptest

下载地址：https://github.com/shekyan/slowhttptest.git

安装过程：

切换到slowhttptest解压目录，执行以下操作

./configure

make

make install

注意事项：安装此工具要先安装开发工具包

可以参考https://www.cnblogs.com/573583868wuy/p/6799311.html

安装完成后使用以下命令开始攻击

slowhttptest -c 1000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://mysite -x 10 -p 3

当再次访问网站时，看到加载缓慢或者一直在加载就说明攻击成功。

 

工具用法：

-a开始值范围说明符用于范围头测试

-b 将字节限制的范围说明符用于范围头测试

- c的连接数限制为65539

- d proxy host:port用于指导所有流量通过web代理

- e proxy host:port端口用于指导只有探针交通通过web代理

- h,B,R或x指定减缓在头部分或在消息体,- R 允许范围检验,使慢读测试- x

- g生成统计数据在CSV和HTML格式,模式是缓慢的xxx。csv / html,其中xxx是时间和日期

- i seconds秒间隔跟踪数据在几秒钟内,每个连接

- k管道因子次数重复请求在同一连接慢读测试如果服务器支持HTTP管道内衬。

- l在几秒钟内，秒测试时间

- n秒间隔从接收缓冲区读取操作

- o文件定义输出文件路径和/或名称,如果指定有效- g

- p秒超时等待HTTP响应在探头连接后,服务器被认为是不可访问的

- r seconds连接速度

- s字节值的内容长度标题详细说明,如果指定- b

- t verb自定义

- u URL目标URL,相同的格式键入浏览器,e。g https://host[:port]/

- v level冗长等级0 - 4的日志

- w字节范围广告的窗口大小会选择从

- x字节最大长度的跟踪数据结束

- y字节范围广告的窗口大小会选择从

- z字节从接收缓冲区读取字节与单一的read()操作

 

 

三、解决方法

方法一：对web服务器的http头部传输的最大许可时间进行限制，修改成最大许可时间为20 秒

 

以tomcat为例，打开server.xml找到

　　<Connector port="8080" protocol="HTTP/1.1"

　　connectionTimeout="20000"

　　redirectPort="8443" />

　　将其中的connectionTimeout="20000"改为connectionTimeout="8000"，其单位是毫秒。

 

 

方法二：由于Apache易受此攻击，因此我们应该采取一些预防措施。我们需要安装 名为mod_antilorisApache模块。该模块根据每个IP限制处于读状态的线程数，并保护 Apache不受Slowloris攻击。安装指令如下：

 

安装httpd-devel

yum install -y httpd-devel

安装编译模块gcc

yum install gcc -y

切换到一下目录

cd /usr/local/src/

从网上下载mod_antilorisApache模块

wget sourceforge.net/projects/mod-antiloris/files/mod_antiloris-0.4.tar.bz2

解压

tar -xf mod_antiloris-0.4.tar.bz2

调用apxs编译安装mod_antiloris.c文件

apxs -a -i -c mod_antiloris.c 

重启httpd服务

service httpd restart

检验antiloris进程是否启用

httpd -M |grep antiloris

完成