Slowloris DoS攻击的原理与简单实现

                              免责声明

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。

——鼹鼠

1.Slowloris攻击的原理

Slowloris攻击是一种DDoS（分布式拒绝服务攻击）工具，利用Web服务器的设计漏洞，通过向目标服务器发送大量的半连接（half-open connections）来耗尽服务器资源，导致目标服务器无法响应合法请求。具体来说，这种攻击利用Web服务器对TCP协议的实现，服务器在接收到TCP连接请求后需要维护该连接的状态，包括客户端的IP地址、端口号等信息。攻击者发送大量的半连接请求，这些请求会在服务器的等待队列中占用连接资源，导致服务器无法响应新的请求。

值得注意的是，Slowloris攻击通常针对HTTP协议，因为HTTP协议使用单一连接的方式传输数据，因此攻击者可以利用Slowloris攻击来迫使Web服务器无法响应客户端请求。在HTTP协议中规定HTTP以连续的r/n/r/n作为结束标志，美国网站服务器在处理HTTP请求的头部信息时，会等待头部传输结束后再进行处理，所以美国网站服务器没有接收到连续的r/n/r/n的话就会一直接收数据并保持与客户端的连接。利用这个特性黑客能够长时间与美国网站服务器保持连接，并逐渐耗尽美国网站服务器的连接资源。

黑客使用Slowloris、Slowhttptest等工具就可以简单地发动慢速Slowloris攻击，在 Slowloris攻击方法出现以后，部分美国网站服务器软件针对该攻击方法进行了修改，但是Apache、HTTPD等美国网站服务器软件依然会受到 Slowloris攻击的影响。

Slowloris 是一种资源消耗类DoS攻击，它利用部分HTTP请求进行操作。也叫做慢速攻击，这里的慢速并不是说发动攻击慢，而是访问一条链接的速度慢。Slowloris攻击的功能是打开与目标Web服务器的连接，然后尽可能长时间的保持这些连接打开。如果由多台电脑同时发起Slowloris攻击，那么这个时候就可以叫做DDoS攻击了。（在b站看的，不对望指出）

2.Slowloris攻击前的准备

   在发起攻击之前，我们需要找到一个靶机，也就是攻击目标。

在这里，我是使用Metasploitable2作为靶机。

将靶机启动后并使用ifconfig命令查看靶机的ip地址：

然后我们使用主机的浏览器输入这个ip地址：

可以看到，现在我们可以正常的访问靶机的这个网站。

使用kali虚拟机发起攻击

发动Slowloris攻击有很多种方式，在这里我使用的是kali中的Metasploit。（安装kali虚拟机的教程自己去找吧，相信有兴趣看这篇博客的同学都是对网络安全感兴趣的）（我使用的虚拟机时VMware）

我们启动kali虚拟机后，打开漏洞利用工具集中的Metasploit framework:

 输入密码（就是kali的登录密码）进行登录：

找到Slowloris模块并使用：

在图中的options中

Delay

表示一条维持一条链接的时间，也就是延时

Rhost

表示要攻击的目标ip

Rpost

表示发起攻击使用的端口，默认为80

Sockets

用来指定要发起的连接数量，默认是150

接下来，我们设置好要攻击的目标ip，使用run命令开始发动攻击：

可以看到，发起攻击后，靶机的网页无法进行刷新：

以上就是Slowloris攻击的一次攻击过程。（很浅显的啦）

面对Slowloris DoS攻击，我们可以采取以下措施进行防范：

1.定期更新系统和应用程序：确保您的系统和应用程序始终保持最新状态，以防止攻击者利用已知漏洞进行攻击。

2.限制访问权限：仅授予必要的访问权限，并避免使用通用账户和密码。限制对敏感数据的访问，并使用强密码策略来增强安全性。

3.限制连接数：设置合理的连接数限制，以防止Slowloris攻击通过大量半连接请求耗尽服务器资源。可以根据服务器的实际情况进行调整，设置合理的阈值。

4.使用防火墙：配置防火墙规则来限制不必要的连接请求，只允许合法的流量通过。例如，您可以配置防火墙来屏蔽来自已知攻击源的IP地址或端口。

5.使用限速工具：部署限速工具，限制来自同一IP地址的请求速率，以防止攻击者通过大量请求进行DoS攻击。

6.监控系统日志：定期查看系统日志，监控异常流量和请求模式。如果发现异常流量或大量请求来自同一IP地址或源，可以采取相应的措施进行处理。

7.备份数据：定期备份重要数据，以防止数据丢失或损坏。在遭受DoS攻击时，可以快速恢复数据并恢复服务。

8.与安全团队合作：与安全团队密切合作，及时获取最新的安全信息和威胁情报，以便更好地应对DoS攻击和其他安全威胁。

总之，防范Slowloris DoS攻击需要综合考虑多种措施，加强系统安全防护，提高服务器的抵抗能力。同时，保持警惕和持续监控也是必不可少的。

3.

原文始发于微信公众号（天盾信安）：Slowloris DoS攻击的原理与简单实现