拒绝服务-应用层DoS

应用层DoS

  • 应用服务漏洞
    • 服务代码存在漏洞,遇异常提交数据时程序崩溃
    • 应用处理大量并发请求能力有限,被拒绝的是应用或O
  • 缓冲区溢出漏洞
    • 向目标函数随即提交数据,特定情况下数据覆盖临近寄存器或内存
    • 影响:远程代码执行、DoS
    • 利用模糊测试方法发现缓冲区溢出漏洞

  • CesarFTP 0.99 服务漏洞
    • MKD+n个/n
  • Ms12-020 远程桌面协议漏洞
    • searchsploit ms12-020
    • cat /usr/share/exploitdb/exploits/windows/dos/18606.txt

  • Slowhttptest(源自google)

    • 低带宽应用层慢速DoS攻击(相对于CC等快速攻击而言的慢速)
    • 最早由Python编写,跨平台支持(Linux、win、Cygwin、OSX)
    • 尤其擅长攻击apache、tomcat(几乎百发百中)
    • 支持代理,大量应用服务器和安全设备都无法防护慢速攻击
    • unlimit -a其中的open files限制了并发数
      • unlimit -n 70000
    • man slowhttptest
  • 攻击方法

    • Slowloris、Slow HTTP POST 攻击
      • 耗尽应用的并发连接池,类似于Http层的Syn flood
      • HTTP协议默认在服务器全部接收请求之后才开始处理,若客户端发送速度缓慢或不完整,服务器时钟为其保留连接资源池占用,此类大量并发将导致DoS
      • Slowloris:完整的http请求结尾是\r\n\r\n,攻击发\r\n……
      • Slow POST:HTTP头content-length声明长度,但body部分缓慢发送。
      • Slow Read attack 攻击
        • 与slowloris and slow POST目的相同,都是耗尽应用的并发连接池
        • 不同之处在于请求正常发送,但慢速读取响应数据
        • 攻击者调整TCP window 窗口大小,使服务器慢速返回数据
      • Apache Range Header attack
        • 客户端传输大文件时,体积超过HTTP Body大小限制进行分段
        • 耗尽服务器CPU、内存资源