什么是低速缓慢攻击?

低速缓慢攻击是一种 DDoS 攻击,旨在使用极慢的 HTTP 或 TCP 流量来停止 Web 服务。

Share facebook icon linkedin icon twitter icon email icon

慢速攻击

学习目标

阅读本文后,您将能够:

  • 定义低速缓慢攻击
  • 描述低速缓慢攻击的工作方式
  • 知道如何防护低速缓慢攻击

什么是低速缓慢攻击?

低速缓慢攻击是 DoS DDoS 攻击的一种,依赖一小串非常慢的流量,可以针对应用程序或服务器资源发起攻击。与更传统的蛮力攻击相比,低速缓慢攻击所需的带宽非常小,并且难以防护,因为它们生成的流量很难与正常流量区分开。由于不需要很多资源就能发起,使用一台计算机就可以成功发起低速缓慢攻击。用于发动低速缓慢攻击的两个最受欢迎的工具是 Slowloris R.U.D.Y.。

低速缓慢攻击的工作原理

低速缓慢攻击以基于线程的 Web 服务器为目标,旨在通过慢速请求捆绑每个线程,从而阻止真正的用户访问服务。在攻击时,需要非常缓慢地传输数据,但传输速度又足够快以防止服务器超时。想象有一座四车道桥梁,每个车道都有收费站。司机在收费站处停车,交出钞票或几枚硬币,然后过桥,即可为下一个司机腾出车道。现在想象一下,有四个驾驶员同时出现并占据了所有开放的车道,而他们每个人都慢慢地将小额硬币交给收费站操作员,一次交一枚硬币,堵塞所有可用车道数小时,并阻止其他驾驶员通过。这种令人丧气的情况就与低速缓慢攻击的工作原理非常相似。


攻击者可以使用 HTTP 标头、HTTP 发布请求或 TCP 流量进行低速缓慢攻击。以下是 3 个常见的攻击示例:

  • Slowloris 工具连接到服务器,然后缓慢发送部分 HTTP 标头。这将导致服务器保持连接打开状态以便接收其余的标头,这样就会将线程捆绑起来。
  • 另一个名为 R.U.D.Y.(死亡之子)的工具会生成 HTTP 发布请求以填写表单字段。它告诉服务器将发送多少数据,但随后却非常缓慢地发送数据。服务器保持连接打开,因为它预计还有更多数据。
  • 另一种低速缓慢攻击是 Sockstress 攻击,这种攻击利用 TCP/IP 三向握手中的漏洞,创建出不确定的连接。

如何停止低速缓慢攻击?

用于阻止传统 DDoS 攻击的速率检测技术无法在低速缓慢攻击中起作用。防护低速缓慢攻击的一种方法是升级服务器的可用性;服务器可以同时维护的连接越多,攻击就越难阻塞服务器。这种方法的问题在于,攻击者可以尝试扩大攻击范围,以耗尽服务器的可用性。另一个解决方案是基于反向代理的保护,这种方案将在低速缓慢攻击到达您的源站之前进行防护。了解 Cloudflare 基于云的 DDoS 保护如何防护低速缓慢攻击。