应用层DoS

• 应用服务漏洞
  • 服务代码存在漏洞，遇异常提交数据时程序崩溃
  • 应用处理大量并发请求能力有限，被拒绝的是应用或O
• 缓冲区溢出漏洞
  • 向目标函数随即提交数据，特定情况下数据覆盖临近寄存器或内存
  • 影响：远程代码执行、DoS
  • 利用模糊测试方法发现缓冲区溢出漏洞

• CesarFTP 0.99 服务漏洞
  • MKD+n个/n
• Ms12-020 远程桌面协议漏洞
  • searchsploit ms12-020
  • cat /usr/share/exploitdb/exploits/windows/dos/18606.txt

• Slowhttptest(源自google)

  • 低带宽应用层慢速DoS攻击（相对于CC等快速攻击而言的慢速）
  • 最早由Python编写，跨平台支持（Linux、win、Cygwin、OSX）
  • 尤其擅长攻击apache、tomcat（几乎百发百中）
  • 支持代理，大量应用服务器和安全设备都无法防护慢速攻击
  • unlimit -a其中的open files限制了并发数
    • unlimit -n 70000
  • man slowhttptest

• 攻击方法

  • Slowloris、Slow HTTP POST 攻击
    • 耗尽应用的并发连接池，类似于Http层的Syn flood
    • HTTP协议默认在服务器全部接收请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器时钟为其保留连接资源池占用，此类大量并发将导致DoS
    • Slowloris:完整的http请求结尾是\r\n\r\n,攻击发\r\n……
    • Slow POST：HTTP头content-length声明长度，但body部分缓慢发送。
    • Slow Read attack 攻击
      • 与slowloris and slow POST目的相同，都是耗尽应用的并发连接池
      • 不同之处在于请求正常发送，但慢速读取响应数据
      • 攻击者调整TCP window 窗口大小，使服务器慢速返回数据
    • Apache Range Header attack
      • 客户端传输大文件时，体积超过HTTP Body大小限制进行分段
      • 耗尽服务器CPU、内存资源