2024年5月5日发(作者:)

常见问题特征总结

HTTP慢速拒绝服务攻击

1) 故障现象

网站业务对互联网提供WEB服务,在没有任何征兆的情况下所有用户突然不能访问

WEB应用。

2) 攻击诊断及定位

a) 通过重启服务器以及WEB服务,能够恢复正常工作。但在几分钟后依然存在网站

不能访问的情况。

b) 怀疑防火墙等安全设备拦截了用户的访问,但查询所有策略并未发现异常,可能不

是安全设备造成的影响。

c) 通过网络管理软件等监控设备,并未发现大规模的流量突发。

d) 通过端口镜像的方式接入数据包分析设备,发现存在国外地址针对网站的慢速拒绝

服务攻击。

e) 通过对数据包的分析,可以看到攻击者通过HTTP POST方法,攻击者向网站目录

上传文件,HTTP请求头部Content-Length字段宣告要上传10000字节数据,但后续每

间隔几秒攻击者才向服务器发送1个或几个字节有效数据,这样的行为无论网站是否支持

向根目录POST上传数据,服务器都需要先占用10000字节资源用于接收攻击上传的数

据,大量类似的会话就会导致服务器无法正常被访问,形成应用层拒绝服务攻击。

3) 问题解决

通过拦截攻击者IP的方式,同时通过WAF或其他防护设备阻断所有向网站“POST

/”的HTTP请求,阻止类似特征的攻击行为。

4) 数据包分析慢速拒绝服务攻击特征总结

HTTP慢速拒绝服务攻击有别于带宽消耗类的攻击,其特点是难以通过常规的网络手

段诊断及定位。根据上述数据包分析,可以总结出此类拒绝服务攻击的网络特征:

a) 攻击者会短时间内与网站建立了几百个TCP会话,其连接会话数量明显高于正常访

问,但不足以造成服务器连接耗尽;

b) 攻击者使用HTTP请求使用POST方法,声称要向网站的目录上传数据;

c) 在请求头部Content-Length字段会声称需要传输大量数据,如10000字节;

d) 攻击者在建立连接后每隔几秒才向服务器发送1个或几个字节有效数据。

通过上述特征进行数据包分析可以快速判断并定位网络中是否存在慢速拒绝服务攻击。

DOS木马攻击