HTTP慢速攻击类型原理及测试配置

时间： 2024-01-10 来源：信而泰XINERTEL公众号

技术问答

选型帮助

研发客服

商务客服

提到DDoS攻击，可能大家想到的是大流量高新建，如Cloudflare在2023年第一季度DDoS威胁报告中指出，最大的一次攻击峰值高达每秒7100万个请求（RPS），另外观察到高达1.3Tbps的单次DDoS攻击。实际上针对HTTP服务器，有另一种DDoS攻击方法，反其道而行之，这种攻击方法称之为慢速攻击。

HTTP慢速攻击是利用HTTP正常交互流程，以极低的速度往服务器发送HTTP请求，长时间占用HTTP服务器的资源而不释放，当HTTP服务器的并发连接数达到上限时，服务器将无法接受新的请求，从而导致拒绝服务。

目前常见的HTTP慢速攻击主要分为以下三种：

Slowloris（slow headers）

攻击原理

我们抓取一个正常的HTTP Get请求报文：

可以看到每一行都是以\r\n结尾，\r\n代表一行报文的结束也被称为空行（CRLF）；整个命令的结尾会有\r\n\r\n（0d0a0d0a），当服务端收到含有\r\n\r\n（0d0a0d0a）的报文时，就知道客户端发送结束，服务端要开始处理了。Slowloris攻击就是利用了这个机制，如下图，客户端每隔一段时间如5s发送一个HTTP头部，由于没有\r\n\r\n（0d0a0d0a）结尾，服务端认为头部没有传送完成，会一直等待客户端发送数据，连接一直被占用。当这种请求占用完服务端的所有资源后，该服务端将无法提供正常的服务。

Slow HTTP POST（Slow Body）

攻击原理

下面是一个正常的HTTP POST报文：

可以看到Content-Length字段是个比较小的值。服务器确认后，客户端将发送相关数据。Slow HTTP POST攻击过程则如下图所示，将Content-Length设置为一个较大的值（如抓包中的2000字节），然后以每隔一段时间去发送很小的内容（如抓包中每次发送一个test1234），从而和服务器保持长时间连接，当这种攻击数量大的时候，服务器就会拒绝服务，从而导致正常业务无法进行。

Slow Read attack

攻击原理

下面是正常的HTTP Get大文件的交互过程：

客户端发送Get请求，同时设置windows size为65535，可以看到当Get命令被服务器接收后，服务器开始发送数据，windows size同样也为65535。以下列Slow Read Attack的抓包为例，将windows size被刻意设置为很小的值，如512，然后依次递减，这样就会造成服务器需要很长时间发送客户端所需数据，从而达到长时间占用服务器资源的目的。

防御方法

设定阈值，当某个地址的每秒并发连接数超过阈值时，即触发HTTP报文检查，如果检测到该IP连续发送的多个请求报文均没有\r\n\r\n（0d0a0d0a）结束标识，则认定为攻击，将该IP加入黑名单，同时断开该IP的所有连接。同时针对HTTP头部传输时间进行限制，比如头部传输时间超过10s，则主动断开连接，要求客户端重连。

如何使用ALPS实现慢速攻击
信而泰基于PCT架构的新一代基于B/S架构的测试软件ALPS（Application Layer Protocol Simulator），支持包括数据、语音、视频各种类型的真实的应用层流量仿真，除了应用层流量，也支持漏洞攻击、恶意代码、DDoS等攻击的仿真，对于上述的慢速攻击，目前也已支持，同时支持设置各项配置参数：

SlowLoris（Slow HTTP Get）

可自行设定每隔多久发送一个HTTP头部，头部分多少次发送。

Slow Body（Slow HTTP POST）

可自行设定HTTP发送间隔，以及自行定义Content Length长度、每次发送的payload内容。

Slow Read（Slow Read Attack）

可自行设置HTTP发送间隔，step为两个windows update报文中windows size减小的值，见Slow Read attack攻击原理部分的截图二。

统计分析
信而泰ALPS L4-7 测试平台支持慢速攻击的相关统计，其中包含session的统计项主要统计连接的帧数和帧速，包含throughput的统计项为攻击吞吐量相关。

Attack Client - Session和Attack Server -Session 主要统计TCP报文的收发情况；

Attack Client - HTTP xxx Attack Session主要统计HTTP攻击报文的收发情况。

由于安全设备有阈值的设置，当攻击的速率超过设定阈值，攻击IP会被加入黑名单，此时攻击的TCP连接将无法完成。可以通过以上不同session的统计数据来确认是在HTTP攻击报文阶段被安全设备拦截还是TCP连接完全没建立成功。

发送到邮箱 |
+1 赞 0
收藏
评论 0
| 转发至：

本文由ll转载自信而泰XINERTEL公众号，原文标题为:技术资讯 | 慢速攻击类型原理及测试配置，本站所有转载文章系出于传递更多信息之目的，且明确注明来源，不希望被转载的媒体或个人可与我们联系，我们将立即进行删除处理。

全部评论（0）

暂无评论

信而泰测试仪表如何实现通信时延的高精度测量？

DarYu-X系列和BigTao-V系列网络测试仪，均采用先进的模块化设计理念，由机箱、高性能板卡和用户友好的软件构成。测试仪支持从1G到400G的多种以太网速率，提供灵活的扩展选项，以满足企业用户在测试需求上的快速增长和未来业务的拓展。

技术探讨发布时间 : 2024-06-30

工业4.0开放平台通信：统一架构OPC UA的一种测试方法

通过使用信而泰DarYu/DarPeng2000E测试平台双臂测试方法，可有效的模拟大规模的OPC UA 客户端和服务器会话，实现OPC UA性能测试，验证OPC UA中重点关注的新建、并发、吞吐量、响应时间等重要性能指标。

技术探讨发布时间 : 2024-01-30

如何使用网络测试仪构造特殊流量？

DarYu-X系列高性能网络测试仪是信而泰推出的面向高端路由器等高端数通设备的测试产品，具有高性能、高密度、高速率等特点，配置信而泰基于PCT架构的新一代测试软件RENIX和X2系列测试模块，可提供高精度的发包速率，为高端路由产品的研发保驾护航。

技术探讨发布时间 : 2024-01-23

信而泰TSN测试仪板卡搭配BigTao220/6200便携式机框，实现车载终端模块GPTP，CBS等测试

现代汽车的电子控制单元很多，达到几十块或上百块，不同的车载终端控制器、TSN交换机等组件共同构成庞大的车载以太网，电子控制单元通过传感器不断接收外界信号，然后发出指令去控制执行器的动作，不同的ECU之间的数据通过CAN总线进行转发。XINERTEL BigTao220/6200网络测试仪搭配V2-1G-8M-TSN测试板卡配合光转T1模块可实现对车载终端模块进行GPTP、CBS等协议测试。

应用方案发布时间 : 2023-11-15

XINERTEL（信而泰）专注于通信网络测试领域，致力于为客户提供高品质、优服务的IP网络测试产品及测试解决方案。凭借坚实的技术积累和国内领先的研发实力，信而泰成功推出了一系列覆盖2-7层以太网络测试需求的网络测试平台，率先取得了国产网络测试仪的多项技术突破，得到了客户的高度认可，并因此成为国内测试端口出货量领先的网络测试仪供应商。

网络测试仪网络仿真平台网络损伤平台生产测试平台网络性能测试系统网络智能探针系统数字体验监控与保障平台 WIFI吞吐量测试系统 TSN测试仪 TSN网络仿真测试仪芯片打流测试仪网络安全仿真测试仪

授权代理商 - 世强先进（深圳）科技股份有限公司线上商城技术资料

展开

信而泰防火墙安全测试解决方案：为网络安全保驾护航

在当今数字化时代，网络安全至关重要。防火墙作为网络安全的第一道防线，其性能和可靠性直接影响到网络的安全性。信而泰提供的防火墙安全测试解决方案，旨在通过全面的测试流程，确保防火墙能够高效、准确地执行其安全任务。

应用方案发布时间 : 2024-11-12

10G-400G以太网测试仪供应商信而泰与世强硬创达成战略合作

信而泰（XINERTEL）网络测试仪支持L2-7层流量、协议仿真，最高支持400G；网络损伤仪最高支持100G速率，还支持8类损伤场景仿真模拟，当前已为各类科研、金融、网络设备厂家、音视频企业等服务。

签约新闻发布时间 : 2023-07-17

BigTao-V系列产品手册

型号- V2-10G,V8008D,V6000,V2-10G 系列,BIGTAO-V系列,BIGTAO220,TSN 系列,V2-100G-4QSFP28-D,V2-1G-8M-TSN,V2-100G 系列,V2-400G,V8000,V8004F,V2-400G-2QDD-Q,RENIX,V2-100G-2QSFP28-S,V2-100G-2QSFP28-T,V8008F,V2-100G-2QSFP28-Q,V2-100G-4QSFP28-S,V6016F,V2-100G-4QSFP28-T,V6004F,V2-100G-4QSFP28-Q,DARYU3000,V6000 系列,V6008M,BIGTAO-V,V2-400G 系列,V6016M,V2-100G-2QSFP28-D,TSN,DARYU12000,V2-10G-8C-Q,V8000 系列,V6008C,V2-100G,BIGTAO6200,V6016C,V6004C

数据手册 - XINERTEL - 2022/11/14 PDF 中文下载

技术干货 | VBRAS场景测试方法——如何高效验证网络设备的性能与稳定性？

为了解决传统BRAS中存在的设备资源利用率低、运维复杂和新业务开通缓慢等问题，业界提出了基于转发与控制分离的vBRAS系统架构。基于转发与控制分离的vBRAS系统架构包括CP和UP两种角色，由二者共同实现BRAS功能。

设计经验发布时间 : 2024-10-13

XINERTEL （信而泰）网络测试仪选型指南

描述- 北京信而泰科技股份有限公司是具有自主知识产权的国家高新技术企业、工信部第三批专精特新“小巨人”企业。自2007年成立以来，信而泰始终专注于通信网络测试领域，致力于为客户提供高品质、优服务的IP网络测试产品及测试解决方案。

型号- DARYU-X系列,X2-100G-12QSFP28-Q,V2-10G 系列,BIGTAO-V 系列,XCOMPASS-S,DARYU200,FTT1-1000,K2-100G-1QSFP28-HQ,X2-40G-4QSFP28-HS,V2-400G,DARYU 200 系列,V2-100G-2QSFP28-S,V2-100G系列,V2-100G-2QSFP28-T,X2-10G-8C-HQ,BIGTAO 1000,V2-100G-2QSFP28-Q,X2-100G-2QSFP28-HD,ETTH-T1,X2-400G系列,BIGTAO 系列,U2 系列,V2-100G-2QSFP28-D,V2-10G系列,DARYU 3000,X2-100G-2QSFP28-HT,X2-100G-2QSFP28-HS,X2-10G-8F-HD,BIGTAO,DARYU-X 系列,V2-800G-2M-S,V8000 系列,X5-400G-8QDD,V2-100G,V2-10G-8F-T,X2-100G-2QSFP28-HQ,V8008D,V2-APP-1G-4F,V2-800G 系列,V6000,V2-APP-1G-4C,XCOMPASS-S100,U2-100G-2QSFP28-HQ,DARYU 系列,BIGTAO-V系列,V6000系列,X2-400G-2QDD,V2-100G-4QSFP28-D,DARPENG VE,XCOMPASS-S 系列,V2-1G-8M-TSN,V2-400G系列,V2-100G 系列,RENIX,V8008F,V2-100G-4QSFP28-S,V2-100G-4QSFP28-T,V2-100G-4QSFP28-Q,DARYU3000,K2-1G-4C-HT,DARPENG系列,V6008M,X2-100G-4QSFP28-HQ,X2-100G-4QSFP28-HS,X2-100G-4QSFP28-HT,ALPS,X2-100G 系列,DARPENG 系列,V2-10G-4M-TSN,DARPENG VE-100G,X2-100G-4QSFP28-HD,V6008C,U2-10G-8F-HD,X-VISION,X2-400G 系列,BIGTAO 1000 系列,XCOMPASS-S系列,X2-10G 系列,BIGTAO220,X2-100G,K2-1G-4F-HS,U2系列,TSN 系列,X2-10G,V8000,DARPENG,DARYU,V2-800G,K2-10G-4F-HD,X5 系列,DARPENG VE-10G,X5-400G,TSN,DARYU12000,X2-400G,X2-10G-16F-HD,V2-APP 系列,XCOMPASS-S100 系列,BIGTAO6200,V2-APP-10G-4F,V2-10G,X2-10G-16C-HQ,V2-APP,V2-800G系列,V8004F,V2-400G-2QDD-Q,X5,BIGTAO1000,V6016F,XCOMPASS-S100-2QSFP28,DARYU-X,V6004F,V2-APP系列,V6000 系列,DARYU 200,BIGTAO-V,V2-400G 系列,V6016M,DARPENG2000E,E2-100G-4QSFP28-Q,BIGTAO1000 系列,X5-400G-16QDD,V2-10G-8C-Q,DARYU 12000,X2-40G-2QSFP28-HS,X-LAUNCH,DARPENG VE-1G,XCOMPASS-S10,V8000系列,V6016C,V6004C

选型指南 - XINERTEL - 2024年3月27日 PDF 中文下载

使用信而泰ALPS进行网络损伤仿真测试，高效模拟真实的网络损伤场景，将真实世界带入实验室

真实世界的网络面临物理损伤、技术故障、网络拥塞等挑战，增加了脆弱性和复杂性。若忽视这些风险，产品开发完成后可能导致在未预料的网络环境中出现异常或崩溃，影响可靠性和用户体验。信而泰的X-Compass系列网络损伤仿真平台和ALPS应用与安全仿真测试软件平台，能够高效模拟真实网络条件，评估网络应用或协议的表现，优化网络系统、应用和设备的设计和部署。

应用方案发布时间 : 2024-08-16

精准识别高效回放 | 信而泰流量回放助力网络设备性能优化

流量回放测试是一种技术手段，它通过捕获线上真实流量并在测试环境中重放这些流量，来验证系统的行为和性能。流量回放技术的价值在于使用线上真实流量进行测试，这有助于更准确地评估系统的性能和稳定性，同时也可以减少因测试数据不准确而带来的风险。目前在XINERTEL信而泰的产品体系中有两种流量回放的解决方案，下面给大家一一介绍。

产品发布时间 : 2024-10-10

【仪器】信而泰重磅发布DarYu 200网络测试仪，支持10G到100G多种测试速率

信而泰DarYu 200测试仪是信而泰推出的新一代便携式测试仪，支持10G到100G多种测试速率，配合信而泰Renix测试软件可实现针对网络设备和网络系统的L2-7流量测试及协议仿真，在功能、性能及安全性方面提供全面测试解决方案，满足研发、实验和质量控制等过程中的测试需求。

产品发布时间 : 2024-06-24

DarYu系列网络测试仪高性能2~7层统一测试平台

型号- DARYU系列,DARYU-X系列,X2-10G-16C-HQ,X系列,X2-10G 系列,X2-100G,X2-100G-4QSFP28,X2-10G,X2-40G-4QSFP28-HS,RENIX,X2-10G-8C-HQ,DARYU,X2-100G-2QSFP28-HD,DARYU-X,DARYU3000,BIGTAO 220,X2-10G-16C-HQ 系列,X2-100G-4QSFP28-HQ,X2-100G-4QSFP28-HS,X2-100G-4QSFP28-HT,X2-10G-16F-HD 系列,DARYU12000,ALPS,X2-100G-2QSFP28-HT,X2-100G-4QSFP28 系列,X2-100G-2QSFP28-HS,X2-100G 系列,X2-10G-8F-HD,X2-40G-2QSFP28-HS,X2-10G-16F-HD,BIGTAO 6200,X2-100G-4QSFP28-HD,X2-100G-2QSFP28-HQ

数据手册 - XINERTEL - 2022/5/11 PDF 中文下载

智焕新生共创AI+时代 | 信而泰盛装出席2024中国移动全球合作伙伴大会

中国移动将携手数百家国内外合作伙伴，于中国广州保利世贸博览馆，以“智焕新生共创AI+时代”为主题召开第12届中国移动全球合作伙伴大会。作为中国移动合作伙伴，XINERTEL北京信而泰科技股份有限公司将盛装出席本次大会。期待与您共襄盛会，一起携手中国移动引领新兴技术的深度融合与创新，共同打造新质生产力。

原厂动态发布时间 : 2024-10-09