Slowloris是一种拒绝服务攻击程序,允许攻击者通过打开和维护攻击者与目标之间的许多同时HTTP连接来淹没目标服务器。
Slowloris攻击如何工作?
Slowloris是通过利用部分HTTP请求来操作的应用层攻击。攻击功能通过打开与目标Web服务器的连接,然后尽可能长地保持这些连接。
Slowloris不是一个攻击类别,而是一种特定的攻击工具,旨在允许单个机器在不使用大量带宽的情况下占用服务器。与基于反射的基于反射的DDoS攻击(例如NTP放大)不同,这种类型的攻击使用的带宽较少,而是旨在以似乎比正常速度慢的请求使用服务器资源,但是模拟常规流量。它属于被称为“低和慢”攻击的攻击类别。目标服务器只有很多线程可用于处理并发连接。每个服务器线程将尝试在等待缓慢请求完成时保持活动,从不发生。当服务器的最大可能连接已超出时,
慢病毒攻击发生在四个步骤:
攻击者首先通过发送多个部分HTTP请求标头打开与目标服务器的多个连接。
该目标为每个传入请求打开一个线程,其目的是在连接完成后关闭线程。为了有效,如果连接耗时太长,服务器将超时连接超时,释放线程以进行下一个请求。
为了防止目标超时,攻击者会定期向目标发送部分请求头,以保持请求的有效性。本质上说,“我还在这里!我只是慢,请等我。
在等待终止请求时,目标服务器永远不能释放任何打开的部分连接。一旦所有可用的线程正在使用中,服务器将无法响应由常规流量引起的其他请求,导致拒绝服务。
Slowloris背后的关键在于其带宽消耗很少的麻烦。
Slowloris攻击如何缓解?
对于易受Slowloris影响的Web服务器,有一些方法可以减轻一些影响。弱势服务器的缓解选项可以分为3个一般类别:
增加服务器可用性 – 增加服务器在任何时候允许的最大客户端数量将增加攻击者在使服务器超负荷之前必须创建的连接数。实际上,攻击者可以扩大攻击次数,以克服服务器容量,而不管增加。
限速传入请求 – 基于某些使用因素限制访问将有助于缓解Slowloris攻击。允许限制单个IP地址的最大连接数限制,限制传输速度慢以及限制客户端保持连接的最大时间的技术都是限制低速和慢速攻击有效性的方法。
基于云的保护 – 使用可用作反向代理的服务,保护源服务器。