Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1202811
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-27 13:42:16

前些天我就通过一则新闻关注到了这个即将在OWASP大会上由Wong Onn Chee Tom Brennan演示的攻击。现在OWASP大会开完了,paper也出来了:

http://www.owasp.org/images/4/43/Layer_7_DDOS.pdf

作者曾表示这种攻击一早出现在中国,不知道是哪路神仙整出来的。

此攻击和slowloris有点类似,略有不同的是利用的HTTP POSTPOST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS

当初看完新闻,我就有几个猜想:
1.
不需要作者说的要有form,直接HTTP POST即可,比如 POST / HTTP/1.1,因为这是针对webserver的攻击
2.
也不需要作者说的那种找很多客户端,比如java applet反射攻击;直接找一台PC就能打出这种攻击效果
3.
利用的是apache maxclients的限制

本来我是想着自己写个POC的,无奈太忙了,拖到今天,别人的POC都出来了~~以上3个猜想也就都得到了证实。

我们看这篇文章:
http://www.acunetix.com/blog/web-security-zone/articles/http-post-denial-service/

Bogdan Calin
写了一个wvs的脚本,在一台PC上实现了这个功能



恭喜两位作者找到了一个holdmaxclients的方法,这是我以前想干但没干成的事。

如果apache不工作了,同时在errorlog里发现了如下日志,则很有可能是被这种攻击盯上了:

$tail -f /var/log/apache2/error.log

[Mon Nov 22 15:23:17 2010] [notice] Apache/2.2.9 (Ubuntu) PHP/5.2.6-2ubuntu4.6 with Suhosin-Patch mod_ssl/2.2.9 OpenSSL/0.9.8g configured — resuming normal operations
[Mon Nov 22 15:24:46 2010] [error] server reached MaxClients setting, consider raising the MaxClients setting

遗憾的是apacheMS目前都无临时解决方案!!

阅读(2049) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~