反射攻击已经成为DDoS攻击的主要方式,在一些博客中也有论述。
最为常用的当属ddos反射放大攻击。但是如今,受政策影响,反射式攻击放缓。2018年,平均每个月反射攻击下降了0.93万次,非反射攻击增加了0.35万次。Slowloris dos就是一个鲜明的例子。
Slowloris是一个基于perl的HTTP客户机的名称,它可以用作对基于Apache的HTTP服务器和SQUID缓存代理服务器的拒绝服务。
它通过反复向服务器发起数百个有效的HTTP请求来操作,并使用最小数量的TCP流量保持这些连接打开,以消耗服务器资源。 一旦服务器资源耗尽,服务器将不再能够响应合法流量。
Slowloris是由“RSnake”撰写的,并在2009年6月17日的一篇ha.ckers.org博客中宣布。
截至2009年7月5日,易受攻击的HTTP服务器和代理包括:
Apache HTTP Server
IBM HTTP Server
IBM WebSphere Edge Server Caching Proxy
Squid caching proxy server
互联网上已经有很多关于HTTP服务器、HTTP代理和网络配置不受Slowloris影响的讨论。然而,基于我们的测试,这些观点错误的。 硬件负载均衡器通常自身不具备抗ddos功能,我们将在下面详细介绍。 此外,使用非默认的Slowloris设置拒绝服务可能会影响到其他并不相关的HTTP服务器和代理。
什么使Slowloris dos变得不同;
在我们探讨如何缓解Slowloris之前,先回顾一下是什么使Slowloris不同于其他拒绝服务。
硬件负载均衡器
导言
正如我们前面提到的,传统的观点是,如果您的基础设施支持硬件负载均衡器,那么您就不容易受到Slowloris的影响。 这不是真的。 即使配置正确,Slowloris也可以遍历硬件负载均衡器。 然而,许多负载平衡器可以被额外配置,进而能够保护您的基础设施免受Slowloris的影响。 这是怎么做的?
负载平衡器缓解
许多硬件负载均衡器,包括F5Big-IP、CiscoCSS、CiscoACE和CitrixNetScaler,都有一个通常称为延迟绑定的特性,即TCP拼接。 此功能允许负载均衡器允许客户端和虚拟IP地址(a.k.a之间的TCP三路握手。 配置在Web服务器前面的硬件负载均衡器)。 在此握手完成后,客户端将发送HTTP请求头,负载均衡器可以检查它,以确定对HTTP请求执行什么操作。负载均衡器可以配置为以多种方式响应客户端,例如发送HTTP302重定向,或者根据HTTP请求头中可识别的东西(如cookie、URL或User-Agent)选择适当的Web服务器来处理HTTP请求。
延迟绑定通常会导致负载均衡器执行HTTP请求头完整性检查,这意味着HTTP请求将不会被发送到适当的Web服务器,直到HTTP客户端发送最终的两个回车和行提要进行针对性绑定。 基本上,延迟绑定可以确保Web服务器或代理永远不会看到任何由Slowloris发送的不完整请求。 正因为如此,延迟绑定是防止Slowloris的一种非常有效的方法,但它必须正确配置。 接下来我们将讨论一个示例配置。
content www_80_rule
vip address 10.5.154.200
protocol tcp
port 80
add service wwwserver1_80
add service wwwserver2_80
url "/*"
active
第二行至最后一行(“url”/*“”)是启用在CiscoCSS上执行延迟绑定的Layer5规则的工具,如果没有在内容规则中启用此功能,任何基于Apache的HTTP服务器接收不完整的HTTP Header将容易受到此漏洞的影响。
其他负载平衡器,如F5Big-IP,可以使用类似的方法配置以防止Slowloris。
此硬件负载均衡器缓解仅适用于HTTP流量。至于如何防止基于SSL的攻击,看下篇文章分析。
参考链接:
https://lic.tumt.edu.tw/ezfiles/25/1025/img/16/232000252.pdf
https://www.freebuf.com/articles/database/201804.html
https://www.funtoo.org/Slowloris_DOS_Mitigation_Guide