什么是Slowloris攻击？原理，以及如何防御

Slowloris攻击：如何工作以及如何保护您的网站

Slowloris攻击以缓慢耗尽网站的生命直到其无法正常运行而闻名。此外，这种类型的攻击以其对网站和服务器造成重大损害的能力而闻名，从而导致速度减慢、崩溃和数据丢失。但别让这吓到你！通过了解Slowloris攻击的工作原理以及如何保护您的网站免受攻击，您可以保持您的在线安全和流畅运行。所以，闲话少说，让我们开始吧！

1、什么是Slowloris攻击？

Slowloris攻击是一种拒绝服务（DoS）攻击，旨在用不完整的HTTP请求淹没目标服务器。因此，它以缓慢而稳定的流量淹没了目标。该攻击通过发送大量不完整的HTTP请求，利用服务器有限的连接数量，最终导致完全关闭。
Slowloris攻击的关键特征是它利用了非常低的带宽，并且可以持续很长一段时间。这使得它很难被发现和减轻，并可能造成重大损害。事实证明，它对各种类型的web服务器软件（如Apache 1.x和2.x）都非常有效。

2、Slowloris攻击的历史和演变

Slowloris攻击于2009年首次亮相，当时安全研究员Robert“RSnake”Hansen将其开发为概念验证，以证明web服务器处理HTTP连接时存在一个关键漏洞。与传统的分布式拒绝服务（DDoS）攻击相比，该攻击被设计为一种“低而慢”的禁用服务器的方法，依赖于最小的带宽。一个有趣的事实是，这种攻击的名字来源于一种行动缓慢的亚洲灵长类动物，它通过缓慢但稳定地移动来完成这项工作。
最初，Slowloris对旧版本的Apache web服务器造成了毁灭性的打击，这些服务器在处理大量不完整的连接时遇到了困难。它的低资源使用率和隐蔽性使其成为道德黑客和恶意攻击者的首选工具。随着时间的推移，网络安全社区通过制定对策做出了回应，例如增加连接超时、实施速率限制和采用web应用程序防火墙。
随着服务器技术的发展，攻击对现代、更具弹性的系统的有效性降低了。然而，Slowloris仍然是未打补丁或遗留系统的相关威胁，并强调了对强大服务器安全性的持续需求。

3、为什么Slowloris攻击很危险？

Slowloris攻击更难检测，因为它们发送的是部分数据包，而不是损坏的数据包。当攻击者使用一组受感染的设备发起Slowloris DDoS攻击时，这尤其具有挑战性。因此，传统的入侵检测系统在检测这种类型的DDoS攻击方面效果较差。此外，如果Slowloris攻击被忽视，它可能会持续很长时间，造成重大伤害。
以下是Slowloris攻击如此危险的主要原因：
•隐藏：随着时间的推移，它们使用低带宽并缓慢消耗服务器资源，因此很难检测到。
•持久性：这些攻击可以持续很长一段时间，使其比其他类型的DDoS攻击更难缓解。
•破坏性：Slowloris攻击会破坏网站或服务器的性能，导致速度减慢、崩溃和数据丢失，从而对网站或服务器造成重大损害。
•资源密集型：攻击需要大量的服务器资源来防御，可能会导致性能下降或目标完全失败。
•广泛影响：Slowloris攻击不仅会影响目标网站或服务器，还会影响其用户和客户，他们可能会遇到速度减慢、错误或完全不可用的情况。

4、Slowloris攻击是如何工作的？

Slowloris攻击的工作原理是向目标web服务器发送大量不完整的HTTP请求。网络犯罪分子发送了部分请求，但这些请求从未完全确定。目标服务器保持这些连接打开，等待丢失的信息。随着时间的推移，打开的连接数量的增加开始消耗服务器的资源，最终无法处理合法的请求。这会导致拒绝服务（DoS）攻击，导致服务器变慢、无响应甚至崩溃。
Slowloris攻击主要通过以下四个步骤进行：
1.多个连接：攻击者通过发送多个部分HTTP请求头打开到目标服务器的多个连接。
2.服务器线程：目标为每个传入请求打开一个线程，计划在连接完成后关闭它。然而，如果连接时间过长，服务器将超时以释放线程用于新请求。
3.保持连接存活：为了阻止目标超时连接，攻击者定期发送部分请求标头以保持请求存活。基本上，它说，“我还在这里！我只是很慢。请等我！”
4.资源耗尽：目标服务器在等待请求终止时无法释放任何打开的部分连接。一旦所有可用线程都被使用，服务器将无法响应来自常规流量的请求，从而导致拒绝服务（DoS）。
Slowloris攻击的主要优点是它能够以极低的带宽消耗造成重大破坏。

5、Slowloris攻击的特征是什么？

顾名思义，Slowloris攻击是缓慢而有条不紊的。该攻击向目标web服务器发送部分HTTP请求，但从未完成。因此，服务器打开越来越多的连接，期望请求能够完成。
随着时间的推移，服务器的最大连接数逐渐被占用，没有空间处理合法请求。对于高流量网站，斯洛洛里斯可能需要更长的时间才能完全控制，但最终，攻击将阻止所有有效的请求。
以下是Slowloris攻击出现的一些特征：
•网站性能缓慢-您的网站可能会突然变得缓慢或无响应。
•服务器资源使用率高-如果您注意到服务器资源使用量突然增加，例如CPU或内存使用率高，则可能表示存在Slowloris攻击。
•错误消息-如果您收到错误消息，如“504网关超时”或“403禁止”，则可能表明您的网站受到攻击。
•流量增加——如果你看到流量意外激增，这可能意味着Slowloris攻击的目标是你的网站。
•连接重置消息-如果您收到连接重置消息，则可能表明攻击者正试图破坏您网站的连接。
密切监控您的网站和服务器性能，并在怀疑受到攻击时采取行动，这一点至关重要。早期检测和响应对于减轻Slowloris攻击的影响至关重要。

6、如何防御Slowloris攻击？

实施不同的保护和缓解技术对于保护您的网站或服务免受这些攻击至关重要。为了避免Slowloris攻击，您可以采取以下措施：
•增加web服务器连接限制：通过增加打开连接的最大数量，您可以减少Slowloris攻击的漏洞。攻击者还必须增加连接数量，才能使服务器过载。
•实施速率限制：您可以根据特定的使用因素限制访问，以防止Slowloris攻击。一些有用的技术是：限制一个IP地址允许进行的连接数量，限制用户保持连接的时间，以及限制缓慢的传输速度。
•使用负载平衡器：负载平衡技术可以帮助缓冲连接并实现多种连接管理技术。这有助于防止不完整的HTTP请求影响应用程序和web服务器。
•Web应用程序防火墙（WAF）：WAF有助于防御应用程序攻击，如Slowloris。它们在恶意流量到达您的网络之前识别并阻止恶意流量。
•实施DDoS保护：强烈建议使用DDoS保护服务来提供额外的安全层。它可以帮助阻止恶意流量流向您的网站，并保证合法用户可以使用它。
•监控网络流量：持续监控对于及早识别不同类型的网络攻击非常有益。这使您能够在攻击变得过于严重之前采取行动。
•补丁系统：定期安装最新的安全补丁，使您的软件和所有系统保持最新。这将帮助您阻止攻击者利用已知漏洞。
•升级Web服务器软件：经常更新Web服务器软件非常重要。这样，它有助于解决潜在攻击者可以利用的已知安全漏洞。

7、HTTP洪水攻击和Slowloris攻击有区别吗？

HTTP洪水攻击：
•机制：这种攻击涉及用大量HTTP请求压倒web服务器。攻击者以服务器无法处理负载的数量发送大量标准合法请求。这耗尽了服务器的资源，使合法用户无法访问网站或网络服务。
•目标：攻击的目标是服务器处理和响应传入HTTP请求的能力。
强度和速度：HTTP洪水攻击通常是高容量和快节奏的。他们的目标是快速耗尽服务器的资源。

Slowloris攻击：
•机制：慢洛里斯是一种更微妙、更阴险的DoS攻击形式。它不会用大量请求淹没服务器，而是发送部分HTTP请求，并通过发送部分标头或定期发送更多标头来尽可能长时间地保持这些连接打开，但从不完成请求。服务器等待这些请求的完成，保持每个连接打开。这会逐渐填满服务器的连接表。
•目标：攻击专门针对服务器的连接表，利用web服务器只能处理有限数量的同时连接的事实。
•强度和速度：Slowloris攻击是低而缓慢的攻击。它们不需要大量的流量，因此更难被检测到。
总之，虽然HTTP Flood和Slowloris攻击都旨在使web服务不可用，但它们在执行方法上存在显著差异：HTTP Flood会淹没大量完整的请求，而斯洛洛里斯则通过保持不完整、持久的连接来使其失效。

8、Slowloris攻击的现实例子

Slowloris攻击在几起备受瞩目的事件中发挥了作用，展示了它们在针对易受攻击的系统时的破坏潜力。
2009年，在政治紧张时期，伊朗指责美国对其政府网站发动Slowloris攻击。这些持续数周的长期攻击对关键的在线服务造成了严重破坏，阻止了关键资源的通信和访问。
2011年，黑客组织LulzSec据称使用Slowloris攻击了中央情报局的公共网站。尽管没有机密系统受到破坏，但这次攻击使该网站在几个小时内无法访问。这一事件使人们注意到，即使是知名组织也容易受到这种低带宽、高影响力策略的影响。
最近，在2018年，据报道，一群名为MoneyTaker的黑客对几家俄罗斯银行发动了协同的Slowloris攻击。这次攻击暂时关闭了他们的网站，使客户无法访问，并造成了声誉损害。这一事件突显了斯洛洛里斯袭击对银行业的潜在财务和运营影响。

结论

Slowloris攻击是一种危险的拒绝服务（DoS）攻击，它向目标服务器发送许多不完整的HTTP请求，导致速度减慢、崩溃和数据丢失。这种攻击很难被发现，并且可以持续很长一段时间，使其非常有效和具有破坏性。这就是为什么监控您的网站的性能和资源使用情况，了解攻击的迹象，并实施防火墙和DDoS保护服务等保护措施非常重要。通过这样做，您可以保持您的在线状态安全并顺利运行。