国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

慢速 HTTP 攻擊 Slow HTTP Attack

2年前作者：it技術(shù)分享just_free分類：Toy博客閱讀(19)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了慢速 HTTP 攻擊 Slow HTTP Attack。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

漏洞名稱 ：Slow Http attack、慢速攻擊

漏洞描述：慢速攻擊基于HTTP協(xié)議，通過(guò)精心的設(shè)計(jì)和構(gòu)造，這種特殊的請(qǐng)求包會(huì)造成服務(wù)器延時(shí)，而當(dāng)服務(wù)器負(fù)載能力消耗過(guò)大即會(huì)導(dǎo)致拒絕服務(wù)。HTTP協(xié)議規(guī)定，HTTP Request以\r\n\r\n（0d0a0d0a）結(jié)尾表示客戶端發(fā)送結(jié)束，服務(wù)端開(kāi)始處理。那么，如果永遠(yuǎn)不發(fā)送\r\n\r\n就會(huì)產(chǎn)生慢速攻擊的漏洞，常見(jiàn)的Slowloris就是利用這一點(diǎn)來(lái)做DDoS攻擊的。攻擊者在HTTP請(qǐng)求頭中將Connection設(shè)置為Keep-Alive，要求Web Server保持TCP連接不要斷開(kāi)，隨后緩慢地每隔幾分鐘發(fā)送一個(gè)key-value格式的數(shù)據(jù)到服務(wù)端，如a:b\r\n，導(dǎo)致服務(wù)端認(rèn)為HTTP頭部沒(méi)有接收完成而一直等待。如果攻擊者使用多線程或者傀儡機(jī)來(lái)做同樣的操作，服務(wù)器的Web容器很快就被攻擊者占滿了TCP連接而不再接受新的請(qǐng)求\r\n\r\n，每隔幾分鐘寫入一些無(wú)意義的數(shù)據(jù)流，拖死機(jī)器。

檢測(cè)條件：

1、 Web業(yè)務(wù)運(yùn)行正常
2、 HTTP請(qǐng)求頭中Connection可設(shè)置

檢測(cè)方法：

1、通過(guò)web掃描工具，可發(fā)現(xiàn)該類漏洞，但不一定準(zhǔn)確。
2、或者通過(guò)kali環(huán)境下的slowhttptest工具來(lái)進(jìn)行檢測(cè)，它是一款對(duì)服務(wù)器進(jìn)行慢攻擊的測(cè)試軟
件，包含了幾種攻擊方式，像Slowloris、SlowHTTP POST、Slow Read attack等。在執(zhí)行相關(guān)
的命令或者參數(shù)后，發(fā)現(xiàn)網(wǎng)站訪問(wèn)緩慢，則存在該漏洞。

修復(fù)方案：

1、配置Nginx反向代理解決該問(wèn)題，參考以下鏈接：
Apache:
https://www.digitalocean.com/community/tutorials/how-to-configure-nginx-as-a-reverse-proxy-for-apache
Tomcat:
http://www.mkyong.com/nginx/nginx-apache-tomcat-configuration-example/
Java servers like Jetty, GlassFish and Tomcat
https://www.nginx.com/resources/wiki/start/topics/examples/javaservers/
其他方法：
Apahce配置參考：
http://blog.secaserver.com/2011/08/protect-apache-slowloris-attack/
暫未驗(yàn)證該配置方法有效性，建議配置Nginx反向代理解決該問(wèn)題文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-790649.html

到了這里，關(guān)于慢速 HTTP 攻擊 Slow HTTP Attack的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

【計(jì)算機(jī)網(wǎng)絡(luò)】網(wǎng)絡(luò)安全，HTTP協(xié)議，同源策略，cors，jsonp
?? Author：老九 ?? 個(gè)人博客：老九的CSDN博客 ?? 個(gè)人名言：不可控之事樂(lè)觀面對(duì) ?? 系列專欄：會(huì)生成一個(gè)公鑰一個(gè)私鑰，我現(xiàn)在有一個(gè)東西，我用公鑰給它加密，公鑰可以公開(kāi)給任何一個(gè)人，只有對(duì)應(yīng)的私鑰可以解密；如果用對(duì)稱加密最重要的壞處就是需要在網(wǎng)絡(luò)上
2024年02月07日
瀏覽(46)
【網(wǎng)絡(luò)技術(shù)】【Kali Linux】Wireshark嗅探（九）安全HTTP協(xié)議（HTTPS協(xié)議）
本次實(shí)驗(yàn)是基于之前的實(shí)驗(yàn)：Wireshark嗅探（七）（HTTP協(xié)議）進(jìn)行的。本次實(shí)驗(yàn)使用Wireshark流量分析工具進(jìn)行網(wǎng)絡(luò)嗅探，旨在初步了解安全的HTTP協(xié)議（HTTPS協(xié)議）的工作原理。 HTTPS的含義是HTTP + SSL，即使用SSL（安全套接字）協(xié)議對(duì)通信數(shù)據(jù)進(jìn)行加密。HTTP和HTTPS協(xié)議的區(qū)別（用
2024年01月20日
瀏覽(34)
常見(jiàn)網(wǎng)絡(luò)通信協(xié)議（http、https、ws）及安全協(xié)議(SSL、TLS、XTLS)
文章內(nèi)容刪除了一大半不合適的內(nèi)容，發(fā)不出來(lái)，你懂得。?? HTTP和HTTPS都屬于應(yīng)用層協(xié)議，它們都是用于從萬(wàn)維網(wǎng)（WWW）服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議。它們都是基于 TCP/IP 協(xié)議來(lái)傳遞數(shù)據(jù)的，支持客戶端-服務(wù)器模式的通信。 HTTP和HTTPS的區(qū)別主要在于HTT
2024年02月10日
瀏覽(39)
在網(wǎng)絡(luò)安全、爬蟲(chóng)和HTTP協(xié)議中的重要性和應(yīng)用
1. Socks5代理：保障多協(xié)議安全傳輸 Socks5代理是一種功能強(qiáng)大的代理協(xié)議，支持多種網(wǎng)絡(luò)協(xié)議，包括HTTP、HTTPS和FTP。相比之下，Socks5代理提供了更高的安全性和功能性，包括：多協(xié)議支持： Socks5代理不僅支持HTTP協(xié)議，還可以應(yīng)用于FTP等多種協(xié)議，為不同應(yīng)用場(chǎng)景提供全面支持
2024年02月06日
瀏覽(23)
[Java網(wǎng)絡(luò)安全系列面試題] HTTP和HTTPS協(xié)議區(qū)別和聯(lián)系都有哪些？
2.1 HTTP特點(diǎn) 1.支持客戶/服務(wù)器模式。（ C/S 模式） 2.簡(jiǎn)單快速：客戶向服務(wù)器請(qǐng)求服務(wù)時(shí)，只需傳送請(qǐng)求方法和路徑。請(qǐng)求方法常用的有 GET 、 HEAD 、 POST 。每種方法規(guī)定了客戶與服務(wù)器聯(lián)系的類型不同。由于 HTTP 協(xié)議簡(jiǎn)單，使得 HTTP 服務(wù)器的程序規(guī)模小，因而通信速度很快。
2024年04月23日
瀏覽(31)
慢速 HTTP 拒絕服務(wù)：分析利用和緩解
慢速 HTTP 拒絕服務(wù)：分析、利用和緩解 ??? 慢速 HTTP 攻擊Slow HTTP DoS Attack基于這樣一個(gè)事實(shí)，即 HTTP 協(xié)議在設(shè)計(jì)上要求服務(wù)器在處理請(qǐng)求之前完全接收請(qǐng)求。如果 HTTP 請(qǐng)求未完成，或者傳輸速率很低，服務(wù)器就會(huì)一直占用資源等待其他數(shù)據(jù)。如果服務(wù)器占用過(guò)多資源，可能
2024年04月08日
瀏覽(19)
HTTP與HTTPS：深度解析兩種網(wǎng)絡(luò)協(xié)議的工作原理、安全機(jī)制、性能影響與現(xiàn)代Web應(yīng)用中的重要角色
HTTP (HyperText Transfer Protocol) 和 HTTPS (Hypertext Transfer Protocol Secure) 是互聯(lián)網(wǎng)通信中不可或缺的兩種協(xié)議，它們共同支撐了全球范圍內(nèi)的Web內(nèi)容傳輸與交互。本文將深度解析HTTP與HTTPS的工作原理、安全機(jī)制、性能影響，并探討它們?cè)诂F(xiàn)代Web應(yīng)用中的核心角色。 HTTP 是一種應(yīng)用層協(xié)議
2024年04月11日
瀏覽(37)
Web架構(gòu)安全分析/http/URL/Cookie攻擊
傳統(tǒng) Web 架構(gòu) LAMP 網(wǎng)頁(yè) 概念網(wǎng)頁(yè)就是我們可以通過(guò)瀏覽器上網(wǎng)看到的精美頁(yè)面，一般都是經(jīng)過(guò)瀏覽器渲染過(guò)的 .html 頁(yè)面，html 語(yǔ)言在瀏覽器中渲染。其中包含了CSS、JavaScript 等前端技術(shù)。通過(guò)瀏覽器訪問(wèn)的 Web 頁(yè)面大部分都是 HTML 頁(yè)面。靜態(tài)網(wǎng)頁(yè) 靜態(tài)的網(wǎng)頁(yè)，都是一些 .htm
2024年02月05日
瀏覽(20)
MySQL 8.0 OCP (1Z0-908) 考點(diǎn)精析-性能優(yōu)化考點(diǎn)4：慢速查詢?nèi)罩荆╯low query log）
慢速查詢?nèi)罩荆╯low query log）慢速查詢?nèi)罩荆╯low query log）主要用于查找超過(guò)指定時(shí)間、執(zhí)行時(shí)間很長(zhǎng)的SQL。默認(rèn)情況下這個(gè)功能是無(wú)效的，所以要啟用慢速查詢?nèi)罩拘枰O(shè)置slow_query_log 為1(ON)。慢速查詢?nèi)罩荆╯low query log）相關(guān)參數(shù) 下面我們看看慢速查詢?nèi)罩荆╯low query l
2023年04月22日
瀏覽(82)
Java基礎(chǔ)八 - HTTP相關(guān)/Cookie/Session/網(wǎng)絡(luò)攻擊
一、反射/序列化/拷貝 1. 反射 2. 序列化 3. 動(dòng)態(tài)代理 4. 深拷貝和淺拷貝 1. Session與Cookie 2. 如何避免sql注入 3. XSS(跨站腳本攻擊) 4.? CSRF( 跨站網(wǎng)站攻擊 )? 1. 301與302 redirect(重定向) 2.? forward 和 redirect 的區(qū)別 3. tcp和udp 4.?OSI 的七層模型 5.?HTTP常見(jiàn)狀態(tài)碼 6. HTTP HTTPS區(qū)別 7. HTTPS傳
2024年02月11日
瀏覽(24)