DDOS流量攻击分很多种，其中Slowloris攻击属于比较典型的一种攻击，slowloris、

 

slow http post、slow read attack，三种攻击方式，简单来说这种攻击当大家在麦当劳点

 

餐的时候，最前面点餐的那个人点了一个汉堡，然后他还准备点其他东西，但是又一直不说

 

要啥，就一直霸站着收银台导致后面的客人无法点餐，如果德克士的每个收银台都被这样的

 

客人霸占着，那么最后就会导致麦当劳无法做生意了，也就造成了DDOS。

 

 

DDOS-Slowloris流量攻击原理

 

一、通常一般服务器的并发连接池数并不多，当攻击者连续不间断的建立连接并占满服务器

 

的连接池资源之后，网站服务器就不能为正常用户提供访问服务，继而达到DDOS流量攻击效

 

果。Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透

测试,安全服务于一体的网络安全服务提供商。

 

 

二、DDOS-Slowloris也称为slow headers，是通过耗尽网站服务器的并发连接池来达到攻击

 

目的的一种DDOS流量攻击方式，Slowloris属于是应用层方面的攻击。

 

 

三、正常情况下当访客和服务器进行通信时，访客发送的header请求头信息的结尾应该

 

是"0d0a0d0a"。但是如果启用Slowloris这种模式则只会发送"0d0a"，而HTTP协议默认在服务

 

器接收到全部信息之后才会开始处理，如果始终没有接收到完整的request信息那么网站服务

 

器会为其保留连接池并持续等待后续信息直到连接超时。

 

DDOS-Slowloris流量攻击实战演练

 

攻击环境准备：

 

Mac端的Slowhttptest

 

靶机metasploitable 2.0 IP=192.168.1.103

 

流量攻击实战演示：

 

ulimit -n 1024 && slowhttptest -c 1000 -H -g -o 

 

/Users/apple1/Desktop/my_header_stats -i 10 -r 100 -t GET -u 

 

https://host.example.com/index.html -x 24 -p 3

 

参数解释：

 

[ ulimit -n 1024 ] 指定同一时间能并发打开的文件数为 1024；   

 

[ -c 1000 ] 指定测试过程中与目标建立的连接数为1000； 

 

[ -H ]  指定开始SlowLoris攻击模式并发送未完成的HTTP请求；

 

[ -g -o my_header_stats ] 让Slowhttptest生成CSV和HTML的报告文件,并指定路径／文件

 

名 ； 

 

[ -i 10 ] Specifies the interval between follow up data ； 

 

[ -r 100 ]  指定连接速率为100/s ； [ -t GET ] 通过GET方式连接 ；  

 

[ -u https://host.example.com/index.html ]指定URL；  

 

[ -x 24 ] 启用慢速读取测试；  

 

[ -p 3 ] 官方：在判断服务器被DDOS之前，发送连接请求之后，等待HTTP response的时间
 

间隔为3S || 访客发送request请求3S内没接收到网站服务器的response就标志服务器被DDOS
 

Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复,渗透测试,

安全服务于一体的网络安全服务提供商。
 

 

DDOS流量攻击防护方案

 

1.如果Web服务器从相同的IP接收到数千个连接，同一个用户代理在短时间内请求相同的资源

 

，直接禁掉IP并且记录日志

 

2.定义最小传入数据速率，并删除比该速率慢的连接

 

3.将标题和消息体限制在最小的合理长度上。针对接受数据的每个资源，设置更严格的特定

 

于URL的限制。

 

4.设置合理的服务器连接超时时间。