当前位置:主页 > 帮助中心 > 技术文档 > 2018-12-06

如何防御CC攻击之慢速变种攻击

对曾经或者经常被DDOS攻击的人肯定都听过DDOS攻击和CC攻击,DDOS主要针对IP攻击,CC攻击主要是用来攻击域名,两种攻击方法都是通过控制大量僵尸肉鸡流量对目标网站或者地址发起攻击的,对于没有使用香港高防服务器的站长来说,他的网站将会遭受到重大的打击。而且黑客对这两种攻击方式还在不断“进化”,让防御变得越来越困难。今天我们就来聊聊CC攻击的一个变异品种--慢速攻击。
 

慢速攻击的攻击原理:
 
对于任何一个开放于互联网的WEB服务器,先建立了一个TCP连接,指定一个比较大的content-length值,然后以非常低的速度发包,比如1-10s发一个字节,然后维持住这个TCP连接不断开。如果客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致服务器连接数过多而拒绝服务。
 
与CC攻击原理差不多,只要Web服务器开放了80端口,那么它就可以是一个靶子,HTTP协议在接收到request之前是不对请求内容作校验的,所以即使你的Web应用没有可用的form表单,这个攻击一样能达到非常好的效果。
 
在客户端以单线程方式建立较大数量的无用连接,并保持持续发包的代价非常的低廉。实际试验中一台普通PC可以建立的连接在3000个以上。这对一台普通的web server,将是致命的打击。更不用说结合肉鸡群做分布式DOS了。
 
鉴于此攻击简单的利用程度、拒绝服务的后果、带有逃逸特性的攻击方式,这类攻击一炮而红,成为众多攻击者的研究和利用对象。

慢速攻击的种类:
 
Slow body:攻击者发送一个HTTP POST请求,该请求的Content-Length头部值很大,使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据,但攻击客户端每次只发送很少量的数据,使该连接一直保持存活,消耗服务器的连接和内存资源。
 
Slow headers:Web应用在处理HTTP请求之前都要先接收完所有的http头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。
 
Slow read:客户端与服务器建立连接并发送了一个HTTP请求,客户端发送完整的请求给服务器端,然后一直保持这个连接,以很低的速度读取Response,比如很长一段时间客户端不读取任何数据,通过发送Zero Window到服务器,让服务器误以为客户端很忙,直到连接快超时前才读取一个字节,以消耗服务器的连接和内存资源。
慢速攻击怎么防御?
 
普通的CC攻击防御主要是通过硬件防火墙来防护,进行流量清洗,而对于慢速攻击,这种防御方式效果并不会有明显的效果。根据慢速攻击的攻击原理,可以通过维恩网络自研的WAF指纹识别架构,过滤掉异常的CC攻击流量。维恩网络具有多年的高防服务器防御经验,针对经常被攻击的用户来讲,租用美国高防服务器是非常有必要的。

服务热线

400-678-1356

关注维恩网络