【每天一个漏洞报告02】Slow Http DoS慢速拒绝服务漏洞

漏洞名称

Slow Http DoS慢速拒绝服务漏洞

漏洞地址

https://github.com/shekyan/slowhttptest

https://github.com/dotfighter/torshammer

https://sourceforge.net/projects/torshammer/files/

漏洞等级

中危

漏洞描述

HTTP慢速攻击是利用HTTP合法机制，以极低的速度往服务器发送HTTP请求，尽量长时间保持连接，不释放，若是达到了Web Server对于并发连接数的上限，同时恶意占用的连接没有被释放，那么服务器端将无法接受新的请求，导致拒绝服务。

漏洞成因

HTTP协议采用“请求-应答”模式，当使用普通模式，即非KeepAlive模式时，每个请求/应答客户和服务器都要新建一个连接，完成之后立即断开连接（HTTP协议为无连接的协议）；当使用Keep-Alive模式（又称持久连接、连接重用）时，Keep-Alive功能使客户端到服 务器端的连接持续有效，当出现对服务器的后继请求时，Keep-Alive功能避免了建立或者重新建立连接。

攻击者以客户端发送一个报文，不以CRLF结尾，而是10s发送一行报文，报文需要80s才能发送完毕，这80s内，服务器需要一直等待客户端的CRLF，然后才能解析这个报文。

如果客户端使用更多的程序发送这样的报文，那么服务器端会给客户端留出更多的资源来处理、等待这迟迟不传完的报文。假设服务器端的客户端最大连接数是100个，使用测试程序先连接上100次服务器端，并且报文中启用Keep-Alive，那么其他正常用户101、102就无法正常访问网站了。

攻击者每次只发一行，每次发送之间的间隔时间很长，这迟迟未发送结束的HTTP包会占用服务端的资源，当达到服务端处理请求的上限时，这时候再用户对网站正常请求，服务端也处理不了了，导致了拒绝服务。

漏洞危害

当达到服务端处理请求的上限时，这时候再用户对网站正常请求，服务端也处理不了了。

修复方案

通用修复方案：

1.设置合适的 timeout 时间（Apache 已默认启用了 reqtimeout 模块），规定了 Header 发送的时间以及频率和 Body 发送的时间以及频率。

2.增大 MaxClients(MaxRequestWorkers)：增加最大的连接数。根据官方文档，两个参数是一回事，版本不同，MaxRequestWorkers was called MaxClients before version 2.3.13. The old name is still supported。

3.默认安装的 Apache 存在 Slow Attack 的威胁，原因就是虽然设置的 timeoute，但是最大连接数不够，如果攻击的请求频率足够大，仍然会占满 Apache 的所有连接。

针对WebSphere中间件修复方案：

1.限制 HTTP 数据的大小 在WebSphere Application Server 中进行如下设置：

任何单个 HTTP 头的默认最大大小为 32768 字节。可以将它设置为不同的值。

HTTP 头的默认最大数量为 50。可以将它设置为不同的限制值。

另一种常见的 DOS 攻击是发送一个请求，这个请求会导致一个长期运行的 GET 请求。WebSphere Application Server Plug-in 中的 ServerIOTimeoutRetry 属性可限制任何请求的重试数量。这可以降低这种长期运行的请求的影响。

设置限制任何请求正文的最大大小。详见参考链接。

2.设置keepalive参数

打开ibm http server安装目录，打开文件夹conf，打开文件httpd.conf,查找KeepAlive值，改ON为OFF,其默认为ON。

这个值说明是否保持客户端与HTTP SERVER的连接，如果设置为ON，则请求数到达MaxKeepAliveRequests设定值时请求将排队，导致响应变慢。

针对Weblogic中间件修复方案：

1.在配置管理界面中的协议->一般信息下设置 完成消息超时时间小于400。

2.在配置管理界面中的协议->HTTP下设置 POST 超时、持续时间、最大 POST 大小为安全值范围。

针对Nginx中间件修复方案：

1.通过调整$request_method，配置服务器接受http包的操作限制；

2.在保证业务不受影响的前提下，调整client_max_body_size, client_body_buffer_size, client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值，必要时可以适当的增加；

3.对于会话或者相同的ip地址，可以使用HttpLimitReqModule and HttpLimitZoneModule参数去限制请求量或者并发连接数；

4.根据CPU和负载的大小，来配置worker_processes 和 worker_connections的值，公式是：max_clients = worker_processes * worker_connections。

针对Apache中间件修复方案：

建议使用mod_reqtimeout和mod_qos两个模块相互配合来防护。

1.mod_reqtimeout用于控制每个连接上请求发送的速率。

配置例如：

#请求头部分，设置超时时间初始为10秒，并在收到客户端发送的数据后，每接收到500字节数据就将超时时间延长1秒，但最长不超过40秒。可以防护slowloris型的慢速攻击。RequestReadTimeout header=10-40,minrate=500 #请求正文部分，设置超时时间初始为10秒，并在收到客户端发送的数据后，每接收到500字节数据就将超时时间延长1秒，但最长不超过40秒。可以防护slow message body型的慢速攻击。RequestReadTimeout body=10-40,minrate=500 需注意，对于HTTPS站点，需要把初始超时时间上调，比如调整到20秒。

2.mod_qos用于控制并发连接数。

配置例如：

当服务器并发连接数超过600时，关闭keepalive

QS_SrvMaxConnClose 600

限制每个源IP最大并发连接数为50

QS_SrvMaxConnPerIP 50 这两个数值可以根据服务器的性能调整。

针对IHS服务器修复方案：

请您先安装最新补丁包，然后启用·mod_reqtimeout·模块，在配置文件中加入：

LoadModule reqtimeout_module modules/mod_reqtimeout.so

为mod_reqtimeout模块添加配置：

RequestReadTimeout header=10-40,MinRate=500 body=10-40,MinRate=500

对于HTTPS站点，建议header=20-40,MinRate=500。

参见：http://www-01.ibm.com/support/docview.wss?uid=swg21652165

针对F5负载均衡修复方案：

F5负载均衡设备有相应的防护模块，如无购买可参考附件中的详细配置过程。

关于F5的慢速攻击防护配置，请参考以下链接：

https://support.f5.com/kb/en-us/solutions/public/10000/200/sol10260.html

https://devcentral.f5.com/articles/mitigating-slow-http-post-ddos-attacks-with-irules-ndash-follow-up

针对Tomcat服务器修复方案：

1.设置Tomcat /server.xml文件 connectiontimeout 值，默认为20000ms，修改为2000ms(Tomcat 自身安全漏洞)。

2.设置AJAX的全局timeout时间（默认为30000ms）$.ajaxSetup({timeout:8000})。

测试过程

SlowHTTPTest：很好用。

https://github.com/shekyan/slowhttptest

Slowhttptest是依赖HTTP协议的慢速攻击DoS攻击工具，设计的基本原理是服务器在请求完全接收后才会进行处理，如果客户端的发送速度缓慢或者发送不完整，服务端为其保留连接资源池占用，大量此类请求并发将导致DoS。

攻击分为以下三种模式：

slowloris：

完整的http请求是以rnrn结尾，攻击时仅发送rn，少发送一个rn，服务器认为请求还未发完，就会一直等待直至超时。等待过程中占用连接数达到服务器连接数上限，服务器便无法处理其他请求。

slow http post：

原理和slowloris有点类似，这次是通过声明一个较大的content-length后，body缓慢发送，导致服务器一直等待

slow read attack：

向服务器发送一个正常合法的read请求，请求一个很大的文件，但认为的把TCP滑动窗口设置得很小，服务器就会以滑动窗口的大小切割文件，然后发送。文件长期滞留在内存中，消耗资源。这里有两点要注意：

tcp窗口设置要比服务器的socket缓存小，这样发送才慢。

请求的文件要比服务器的socket缓存大，使得服务器无法一下子将文件放到缓存，然后去处理其他事情，而是必须不停的将文件切割成窗口大小，再放入缓存。同时攻击端一直说自己收不到。

在kali linux安装SlowHTTPTest

# apt-get install slowhttptest

slowloris模式：

slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://host.example.com/index.html -x 24 -p 3

slow post模式：

$ slowhttptest -c 3000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://host.example.com/loginform.html -x 10 -p 3

slow read模式：

$ slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://host.example.com/resources/index.html -p 3

Torshammer:最大特点是可以通过TOR匿名网络执行攻击，也是针对http协议的攻击。

https://github.com/dotfighter/torshammer

https://sourceforge.net/projects/torshammer/files/

kali Linux安装工具：

git clone https://github.com/dotfighter/torshammer.git

使用方法：

python torshammer.py -t example.com -p 80 -r 5000

请注意，如果该网站正常开放，那么他们已经在一些内容交付网络（CDN）上安排了他们的网站，例如Akamai，Cloudflare，旨在抵御任何类型的DoS或DDoS攻击。要检查攻击是否成功，您可以去isitdownrightnow验证。但是绝大多数配置商用CDN的网站，单机是无法撼动的。

复测情况

未修复

测试人员

测试人员1 测试人员2