网络安全慢速攻击

news2024/9/26 1:25:01

什么是低速缓慢攻击？

低速缓慢攻击是 DoS 或 DDoS 攻击的一种，依赖一小串非常慢的流量，可以针对应用程序或服务器资源发起攻击。与更传统的蛮力攻击不同，低速缓慢攻击所需的带宽非常小，并且难以防护，因为它们生成的流量很难与正常流量区分开。大规模 DDoS 攻击可能会很快被注意到，而低速缓慢攻击可能会在很长一段时间内不被发现，同时拒绝或减慢对真实用户的服务。

与可能需要一个僵尸网络才能发起的分布式攻击相反，发起低速缓慢攻击不需要很多资源，使用一台计算机就可以成功发起。用于发动低速缓慢攻击的两个最受欢迎的工具是 Slowloris 和 R.U.D.Y.。

Web 服务如何检测低速缓慢攻击？

用于识别和阻止传统 DDoS 攻击的速率检测技术无法找出低速缓慢攻击，因为它们看起来像正常流量。检测它们的最佳方法是仔细监控和记录服务器资源使用情况并结合行为分析。将正常时间的流量和用户行为与潜在攻击期间的流量和用户行为进行比较。

如果服务器运行缓慢或崩溃，并且怀疑是低速缓慢攻击，则这种攻击的一个迹象是正常用户进程需要更长的时间。如果用户操作（例如填写表格）通常需要几秒钟，但实际上花费几分钟或几小时，占用的服务器资源比正常情况多得多，则可能是低速缓慢攻击的原因。

在检测到低速缓慢攻击后，如何缓解又是另一个问题。

如何停止低速缓慢攻击

缓解低速缓慢攻击的一种方法是升级您的服务器可用性；您的服务器可以同时保持的连接越多，攻击阻塞服务器的难度就越大。这种方法的问题是攻击者可以尝试扩展他们的攻击来填满您服务器的可用性。

另一个解决方案是反向代理，这将在低速缓慢攻击到达您源服务器之前予以缓解。

低速缓慢攻击工具

顾名思义，此类攻击工具仅使用少量数据，而且运行速度非常慢。设计用于通过多个连接发送少量数据，以便尽可能确保目标服务器端口长时间处于打开状态；这些工具将不断占用服务器资源，直到服务器无法维持其他连接为止。独特之处在于，即使不使用僵尸网络这样的分布式系统，低速缓慢攻击有时也可能会得逞，并且通常由一台机器来发动。

应用程序层 (L7) 攻击工具

这类工具以 OSI 模型的第 7 层为目标，基于互联网的请求（例如 HTTP）在这一层上发生。恶意用户可以利用某种 HTTP 洪水攻击，通过 HTTP GET 和 POST 请求淹没目标，从而发起攻击流量，使其很难与实际访问者提出的正常请求区分开来。

协议和传输层 (L3/L4) 攻击工具

此类工具深入协议堆栈，利用 UDP 等协议向目标服务器大规模发送流量，例如在 UDP 洪水攻击期间。虽然单独使用通常不起作用，但此类攻击常常以 DDoS 攻击的形式出现，增加参与攻击的机器数量可加大攻击效果。

常用的 DoS/DDoS 攻击工具有哪些?

一些常用的工具包括：

低轨道离子炮 (LOIC)

LOIC 是一款开源压力测试应用程序。提供了对用户友好的所见即所得型界面，可被用来发动 TCP 和 UDP 协议层攻击。鉴于原始工具广为流传，现已演化出多种衍生工具，可被用来通过 Web 浏览器发动攻击。

高轨道离子炮 (HOIC)

此类攻击工具用于取代 LOIC，不仅扩展了功能，还新增了自定义项。采用 HTTP 协议后，HOIC 可以发起难以缓解的针对性攻击。这款软件设计为集合至少 50 人就能发起协同攻击。

Slowloris

Slowloris 是一款针对目标服务器发动低速缓慢攻击的应用程序。只需占用相对有限数量的资源，便可产生破坏性效果。