应用层DoS
- 应用服务漏洞
- 服务代码存在漏洞,遇异常提交数据时程序崩溃
- 应用处理大量并发请求能力有限,被拒绝的是应用或O
- 缓冲区溢出漏洞
- 向目标函数随即提交数据,特定情况下数据覆盖临近寄存器或内存
- 影响:远程代码执行、DoS
- 利用模糊测试方法发现缓冲区溢出漏洞
- CesarFTP 0.99 服务漏洞
- MKD+n个
/n
- MKD+n个
- Ms12-020 远程桌面协议漏洞
searchsploit ms12-020
cat /usr/share/exploitdb/exploits/windows/dos/18606.txt
Slowhttptest(源自google)
- 低带宽应用层慢速DoS攻击(相对于CC等快速攻击而言的慢速)
- 最早由Python编写,跨平台支持(Linux、win、Cygwin、OSX)
- 尤其擅长攻击apache、tomcat(几乎百发百中)
- 支持代理,大量应用服务器和安全设备都无法防护慢速攻击
unlimit -a
其中的open files限制了并发数unlimit -n 70000
man slowhttptest
攻击方法
- Slowloris、Slow HTTP POST 攻击
- 耗尽应用的并发连接池,类似于Http层的Syn flood
- HTTP协议默认在服务器全部接收请求之后才开始处理,若客户端发送速度缓慢或不完整,服务器时钟为其保留连接资源池占用,此类大量并发将导致DoS
- Slowloris:完整的http请求结尾是\r\n\r\n,攻击发\r\n……
- Slow POST:HTTP头content-length声明长度,但body部分缓慢发送。
- Slow Read attack 攻击
- 与slowloris and slow POST目的相同,都是耗尽应用的并发连接池
- 不同之处在于请求正常发送,但慢速读取响应数据
- 攻击者调整TCP window 窗口大小,使服务器慢速返回数据
- Apache Range Header attack
- 客户端传输大文件时,体积超过HTTP Body大小限制进行分段
- 耗尽服务器CPU、内存资源
- Slowloris、Slow HTTP POST 攻击