什麼是低速緩慢攻擊?

低速緩慢攻擊是一種 DDoS 攻擊,旨在利用極度緩慢的 HTTP 或 TCP 流量阻止 Web 服務。

學習目標

閱讀本文後,您將能夠:

  • Define a low and slow attack
  • Describe how low and slow attacks work
  • 瞭解如何緩解低速緩慢攻擊

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是低速緩慢攻擊?

低速緩慢攻擊是一種 DoSDDoS 攻擊,它依賴於針對應用程式或伺服器資源的少量非常慢的流量。與更傳統的暴力攻擊不同,低速緩慢攻擊只需要很少的頻寬,並且很難緩解,因為它們產生的流量很難與正常流量區分開來。雖然大規模的 DDoS 攻擊可能會很快被注意到,但低速緩慢攻擊可能會在很長一段時間內不被發現,同時拒絕或減慢對真實使用者的服務。

因為它們不需要大量資源來實現,所以使用一台電腦就能成功發起低速緩慢攻擊,這與可能需要殭屍網路的分散式攻擊不同。發起低速緩慢攻擊的兩種常用工具是 SlowlorisR.U.D.Y.

低速緩慢攻擊如何運作?

低速緩慢攻擊針對基於執行緒的 Web 伺服器,目的是用慢速請求佔用每個執行緒,從而阻止真正的使用者存取服務。這透過以非常慢、但剛好足以防止伺服器逾時的速度傳輸資料來實現。

想像有一座四車道橋樑,每個車道都有收費站。駕駛員在收費站處停車,交出鈔票或幾枚硬幣,然後過橋,即可為下一個駕駛員騰出車道。現在想像一下,有四個駕駛員同時出現並佔據了所有開放的車道,而他們每個人都慢慢地將小額硬幣交給收費站操作員,一次交一枚硬幣,堵塞所有可用車道數小時,並阻止其他駕駛員通過。這種令人喪氣的情況就與低速緩慢攻擊的運作原理非常相似。

攻擊者可以使用 HTTP 標頭、HTTP POST 請求或 TCP 流量來執行低速緩慢攻擊。以下是 3 個常見的攻擊範例:

  • Slowloris 工具連接到伺服器,然後緩慢傳送部分 HTTP 標頭。這會導致伺服器保持連線開啟,以便它可以接收剩餘標頭,從而佔用執行緒。
  • 另一個名為 R.U.D.Y. (R-U-DEAD-YET?) 的工具會產生 HTTP POST 請求以填寫表單欄位。它告訴伺服器將傳送多少資料,但隨後卻非常緩慢地傳送資料。伺服器保持連線開啟,因為它預計還有更多資料。
  • 另一種低速緩慢攻擊是 Sockstress 攻擊,它利用 TCP/IP 3 向交握中的漏洞,建立無限期連線。

Web 服務如何偵測低速緩慢攻擊?

用於識別和阻止傳統 DDoS 攻擊的速率偵測技術不會發現低速緩慢攻擊,因為它們看起來像正常流量。偵測它們的最佳方法是仔細監視和記錄伺服器資源使用情況,並結合行為分析。將正常時期的流量和使用者行為與潛在攻擊期間的流量和使用者行為進行比較。

如果伺服器執行緩慢或宕機,並且懷疑存在低速緩慢攻擊,則此類攻擊的一個跡象是正常的使用者處理序需要更長的時間。如果使用者動作(例如填寫表單)通常只需要幾秒鐘,但實際上花費幾分鐘或幾小時,佔用的伺服器資源比正常情況多得多,則可能是低速緩慢攻擊。

在偵測到低速緩慢攻擊後,緩解又是另一個問題。

如何阻止低速緩慢攻擊

緩解低速緩慢攻擊的一種方法是升級伺服器可用性:您的伺服器可以同時維持的連線越多,攻擊就越難阻塞您的伺服器。此方法的問題在於,攻擊者可以嘗試擴展其攻擊以滿足伺服器的可用性。

另一種解決方案是基於反向代理的保護,它將在攻擊到達您的原始伺服器之前緩解低速緩慢攻擊。瞭解 Cloudflare 基於雲端的 DDoS 防護如何緩解低速緩慢攻擊。