一說(shuō)起慢速攻擊，就要談?wù)勊某擅麣v史了。HTTP Post慢速DoS攻擊第一次在技術(shù)社區(qū)被正式披露是2012年的OWASP大會(huì)上，由Wong Onn Chee 和 Tom Brennan共同演示了使用這一技術(shù)攻擊的威力。

這個(gè)攻擊的基本原理如下：對(duì)任何一個(gè)開(kāi)放了HTTP訪(fǎng)問(wèn)的服務(wù)器HTTP服務(wù)器，先建立了一個(gè)連接，指定一個(gè)比較大的content-length，然后以非常低的速度發(fā)包，比如1-10s發(fā)一個(gè)字節(jié)，然后維持住這個(gè)連接不斷開(kāi)。如果客戶(hù)端持續(xù)建立這樣的連接，那么服務(wù)器上可用的連接將一點(diǎn)一點(diǎn)被占滿(mǎn)，從而導(dǎo)致拒絕服務(wù)。

和CC攻擊一樣，只要Web服務(wù)器開(kāi)放了Web服務(wù)，那么它就可以是一個(gè)靶子，HTTP協(xié)議在接收到request之前是不對(duì)請(qǐng)求內(nèi)容作校驗(yàn)的，所以即使你的Web應(yīng)用沒(méi)有可用的form表單，這個(gè)攻擊一樣有效。

在客戶(hù)端以單線(xiàn)程方式建立較大數(shù)量的無(wú)用連接，并保持持續(xù)發(fā)包的代價(jià)非常的低廉。實(shí)際試驗(yàn)中一臺(tái)普通PC可以建立的連接在3000個(gè)以上。這對(duì)一臺(tái)普通的Web server，將是致命的打擊。更不用說(shuō)結(jié)合肉雞群做分布式DoS了。

鑒于此攻擊簡(jiǎn)單的利用程度、拒絕服務(wù)的后果、帶有逃逸特性的攻擊方式，這類(lèi)攻擊一炮而紅，成為眾多攻擊者的研究和利用對(duì)象。

發(fā)展到今天，慢速攻擊也多種多樣，其種類(lèi)可分為以下幾種：

Slow headers：Web應(yīng)用在處理HTTP請(qǐng)求之前都要先接收完所有的HTTP頭部，因?yàn)镠TTP頭部中包含了一些Web應(yīng)用可能用到的重要的信息。攻擊者利用這點(diǎn)，發(fā)起一個(gè)HTTP請(qǐng)求，一直不停的發(fā)送HTTP頭部，消耗服務(wù)器的連接和內(nèi)存資源。抓包數(shù)據(jù)可見(jiàn)，攻擊客戶(hù)端與服務(wù)器建立TCP連接后，每30秒才向服務(wù)器發(fā)送一個(gè)HTTP頭部，而Web服務(wù)器再?zèng)]接收到2個(gè)連續(xù)的\r\n時(shí)，會(huì)認(rèn)為客戶(hù)端沒(méi)有發(fā)送完頭部，而持續(xù)的等等客戶(hù)端發(fā)送數(shù)據(jù)。

慢速攻擊主要利用的是thread-based架構(gòu)的服務(wù)器的特性，這種服務(wù)器會(huì)為每個(gè)新連接打開(kāi)一個(gè)線(xiàn)程，它會(huì)等待接收完整個(gè)HTTP頭部才會(huì)釋放連接。比如Apache會(huì)有一個(gè)超時(shí)時(shí)間來(lái)等待這種不完全連接（默認(rèn)是300s），但是一旦接收到客戶(hù)端發(fā)來(lái)的數(shù)據(jù)，這個(gè)超時(shí)時(shí)間會(huì)被重置。正是因?yàn)檫@樣，攻擊者可以很容易保持住一個(gè)連接，因?yàn)楣粽咧恍枰诩磳⒊瑫r(shí)之前發(fā)送一個(gè)字符，便可以延長(zhǎng)超時(shí)時(shí)間。而客戶(hù)端只需要很少的資源，便可以打開(kāi)多個(gè)連接，進(jìn)而占用服務(wù)器很多的資源。

經(jīng)驗(yàn)證，Apache、httpd采用thread-based架構(gòu)，很容易遭受慢速攻擊。而另外一種event-based架構(gòu)的服務(wù)器，比如nginx和lighttpd則不容易遭受慢速攻擊。

問(wèn)題模型描述：

每一個(gè)頁(yè)面，都有其資源消耗權(quán)重，靜態(tài)資源，權(quán)重較低，動(dòng)態(tài)資源，權(quán)重較高。對(duì)于用戶(hù)訪(fǎng)問(wèn)，有如下：

用戶(hù)資源使用頻率=使用的服務(wù)器總資源量/s

命題一：對(duì)于正常訪(fǎng)問(wèn)的用戶(hù)，資源使用頻率必定位于一個(gè)合理的范圍，當(dāng)然會(huì)存在大量正常用戶(hù)共享ip的情況，這就需要日常用戶(hù)訪(fǎng)問(wèn)統(tǒng)計(jì)，以得到忠實(shí)用戶(hù)ip白名單。

命題二：資源使用頻率持續(xù)異常的，可斷定為訪(fǎng)問(wèn)異常的用戶(hù)。

防御體系狀態(tài)機(jī)：

1.在系統(tǒng)各項(xiàng)資源非常寬裕時(shí)，向所有ip提供服務(wù)，每隔一段時(shí)間釋放一部分臨時(shí)黑名單中的ip成員；

2.在系統(tǒng)資源消耗達(dá)到某一閾值時(shí)，降低Syn包接受速率，循環(huán)：分析最近時(shí)間的日志，并將訪(fǎng)問(wèn)異常的ip加入臨時(shí)黑名單；

3.若系統(tǒng)資源消耗慢慢回降至正常水平，則恢復(fù)Syn包接受速率，轉(zhuǎn)到狀態(tài)1；若目前策略并未有效地控制住系統(tǒng)資源消耗的增長(zhǎng)，情況繼續(xù)惡劣至一極限閾值，轉(zhuǎn)到狀態(tài)4；

4.最終防御方案，使用忠實(shí)用戶(hù)ip白名單、異常訪(fǎng)問(wèn)ip黑名單策略，其他訪(fǎng)問(wèn)可慢慢放入，直到系統(tǒng)資源消耗回降至正常水平，轉(zhuǎn)到狀態(tài)1。

上述的防御狀態(tài)機(jī)，對(duì)于單個(gè)攻擊IP高并發(fā)的DDOS，變化到狀態(tài)3時(shí)，效果就完全體現(xiàn)出來(lái)了，但如果防御狀態(tài)機(jī)進(jìn)行到4狀態(tài)，則有如下兩種可能：

1.站點(diǎn)遭到了攻擊群龐大的、單個(gè)IP低并發(fā)的DDOS攻擊；

2.站點(diǎn)突然間有了很多訪(fǎng)問(wèn)正常的新用戶(hù)。

保守：站點(diǎn)應(yīng)盡快進(jìn)行服務(wù)能力升級(jí)。

積極：盡所能，追溯攻擊者。

追溯攻擊者：

CC：proxy-forward-from-ip

單個(gè)IP高并發(fā)的DDOS：找到訪(fǎng)問(wèn)異常的、高度可疑的ip列表，exploit，搜集、分析數(shù)據(jù)，因?yàn)橐粋€(gè)傀儡主機(jī)可被二次攻占的概率很大（但不建議這種方法）

單個(gè)IP低并發(fā)的DDOS：以前極少訪(fǎng)問(wèn)被攻擊站點(diǎn)，但是在攻擊發(fā)生時(shí)，卻頻繁訪(fǎng)問(wèn)我們的站點(diǎn)，分析日志得到這一部分ip列表

追溯攻擊者的過(guò)程中，snat與web proxy增加了追蹤的難度，如果攻擊者采用多個(gè)中繼服務(wù)器的方法，追溯將變得極為困難。

防御者：

1.應(yīng)對(duì)當(dāng)前系統(tǒng)了如指掌，如系統(tǒng)最高負(fù)載、最高數(shù)據(jù)處理能力，以及系統(tǒng)防御體系的強(qiáng)項(xiàng)與弱點(diǎn)

2.歷史日志的保存、分析

3.對(duì)當(dāng)前系統(tǒng)進(jìn)行嚴(yán)格安全審計(jì)

4.上報(bào)公安相關(guān)部分，努力追溯攻擊者

5.網(wǎng)站，能靜態(tài)，就一定不要?jiǎng)討B(tài)，可采取定時(shí)從主數(shù)據(jù)庫(kù)生成靜態(tài)頁(yè)面的方式，對(duì)需要訪(fǎng)問(wèn)主數(shù)據(jù)庫(kù)的服務(wù)使用驗(yàn)證機(jī)制。

6.防御者應(yīng)能從全局的角度，迅速及時(shí)地發(fā)現(xiàn)系統(tǒng)正在處于什么程度的攻擊、何種攻擊，在平時(shí)，應(yīng)該建立起攻擊應(yīng)急策略，規(guī)范化操作，免得在急中犯下低級(jí)錯(cuò)誤

對(duì)歷史日志的分析這時(shí)將會(huì)非常重要，數(shù)據(jù)可視化與統(tǒng)計(jì)學(xué)的方法將會(huì)很有益處：

1.分析每個(gè)頁(yè)面的平均訪(fǎng)問(wèn)頻率

2.對(duì)訪(fǎng)問(wèn)頻率異常的頁(yè)面進(jìn)行詳細(xì)分析 分析得到ip-頁(yè)面訪(fǎng)問(wèn)頻率

3.得到對(duì)訪(fǎng)問(wèn)異常頁(yè)面的訪(fǎng)問(wèn)異常ip列表

4.對(duì)日志分析得到忠實(shí)用戶(hù)IP白名單

5.一般一個(gè)頁(yè)面會(huì)關(guān)聯(lián)多個(gè)資源，一次對(duì)于這樣的頁(yè)面訪(fǎng)問(wèn)往往會(huì)同時(shí)增加多個(gè)資源的訪(fǎng)問(wèn)數(shù)，而攻擊程序一般不會(huì)加載這些它不感興趣的資源，所以，這也是一個(gè)非常好的分析突破點(diǎn)

防御思路

因?yàn)镃C攻擊通過(guò)工具軟件發(fā)起，而普通用戶(hù)通過(guò)瀏覽器訪(fǎng)問(wèn)，這其中就會(huì)有某些區(qū)別。想辦法對(duì)這二者作出判斷，選擇性的屏蔽來(lái)自機(jī)器的流量即可。

初級(jí)

普通瀏覽器發(fā)起請(qǐng)求時(shí)，除了要訪(fǎng)問(wèn)的地址以外，Http頭中還會(huì)帶有Referer，UserAgent等多項(xiàng)信息。遇到攻擊時(shí)可以通過(guò)日志查看訪(fǎng)問(wèn)信息，看攻擊的流量是否有明顯特征，比如固定的Referer或UserAgent，如果能找到特征，就可以直接屏蔽掉了。

中級(jí)

如果攻擊者偽造了Referer和UserAgent等信息，那就需要從其他地方入手。攻擊軟件一般來(lái)說(shuō)功能都比較簡(jiǎn)單，只有固定的發(fā)包功能，而瀏覽器會(huì)完整的支持Http協(xié)議，我們可以利用這一點(diǎn)來(lái)進(jìn)行防御。

首先為每個(gè)訪(fǎng)問(wèn)者定義一個(gè)字符串，保存在Cookies中作為T(mén)oken，必須要帶有正確的Token才可以訪(fǎng)問(wèn)后端服務(wù)。當(dāng)用戶(hù)第一次訪(fǎng)問(wèn)時(shí)，會(huì)檢測(cè)到用戶(hù)的Cookies里面并沒(méi)有這個(gè)Token，則返回一個(gè)302重定向，目標(biāo)地址為當(dāng)前頁(yè)面，同時(shí)在返回的Http頭中加入set cookies字段，對(duì)Cookies進(jìn)行設(shè)置，使用戶(hù)帶有這個(gè)Token。

客戶(hù)端如果是一個(gè)正常的瀏覽器，那么就會(huì)支持http頭中的set cookie和302重定向指令，將帶上正確的Token再次訪(fǎng)問(wèn)頁(yè)面，這時(shí)候后臺(tái)檢測(cè)到正確的Token，就會(huì)放行，這之后用戶(hù)的Http請(qǐng)求都會(huì)帶有這個(gè)Token，所以并不會(huì)受到阻攔。

客戶(hù)端如果是CC軟件，那么一般不會(huì)支持這些指令，那么就會(huì)一直被攔在最外層，并不會(huì)對(duì)服務(wù)器內(nèi)部造成壓力。

高級(jí)

高級(jí)一點(diǎn)的，還可以返回一個(gè)網(wǎng)頁(yè)，在頁(yè)面中嵌入JavaScript來(lái)設(shè)置Cookies并跳轉(zhuǎn)，這樣被偽造請(qǐng)求的可能性更小

Token生成算法

Token需要滿(mǎn)足以下幾點(diǎn)要求

1，每個(gè)IP地址的Token不同

2， 無(wú)法偽造

3， 一致性，即對(duì)相同的客戶(hù)端，每次生成的Token相同

Token隨IP地址變化是為了防止通過(guò)一臺(tái)機(jī)器獲取Token之后，再通過(guò)代理服務(wù)區(qū)進(jìn)行攻擊。一致性則是為了避免在服務(wù)器端需要存儲(chǔ)已經(jīng)生成的Token。

推薦使用以下算法生成Token，其中Key為服務(wù)器獨(dú)有的保密字符串，這個(gè)算法生成的Token可以滿(mǎn)足以上這些要求。

Token = Hash( UserAgent + client_ip + key )

本文主要講述了DDoS攻擊之一的CC攻擊工具實(shí)現(xiàn)，以及如何防御來(lái)自應(yīng)用層的DDoS攻擊的理論總結(jié)。接下來(lái)的文章，筆者將會(huì)實(shí)現(xiàn)一個(gè)工作于內(nèi)核態(tài)的、具有黑名單功能的防火墻模塊，以對(duì)應(yīng)于上述防御狀態(tài)機(jī)中的防火墻單元，它實(shí)現(xiàn)了自主地動(dòng)態(tài)內(nèi)存管理，使用hash表管理ip列表，并可以自定義hash表的modular。