在慢發(fā)布 DDoS?攻擊中，攻擊者將合法的 HTTP POST 標(biāo)頭發(fā)送到?Web?服務(wù)器。在這些標(biāo)頭中，正確指定了將遵循的消息正文的大小。但是，消息正文以令人痛苦的低速發(fā)送。這些速度可能慢到每?jī)煞昼娨粋€(gè)字節(jié)。由于消息被正常處理，目標(biāo)服務(wù)器將盡力遵循指定的規(guī)則。就像在Slowloris 攻擊中一樣，服務(wù)器隨后會(huì)變慢到爬行。更糟糕的是，當(dāng)攻擊者同時(shí)發(fā)起數(shù)百甚至數(shù)千個(gè)慢速POST攻擊時(shí)，服務(wù)器資源被迅速消耗，使得合法連接無法實(shí)現(xiàn)。

DDoS 攻擊后緩慢的跡象是什么？

慢 Post DDoS 攻擊的特點(diǎn)是傳輸針對(duì)基于線程的 Web 服務(wù)器的 HTTP POST 標(biāo)頭請(qǐng)求，發(fā)送數(shù)據(jù)非常緩慢，但不足以使服務(wù)器超時(shí)。由于服務(wù)器保持連接打開以期待額外的數(shù)據(jù)，因此阻止了真正的用戶訪問服務(wù)器。服務(wù)器看起來有大量連接的客戶端，但實(shí)際處理負(fù)載會(huì)非常低。

為什么緩慢的后期 DDoS 攻擊很危險(xiǎn)？

由于慢后 DDoS 攻擊不需要大量帶寬，例如蠻力DDoS 攻擊所需的帶寬，因此很難將它們與正常流量區(qū)分開來。由于這些類型的應(yīng)用層 DDoS 攻擊不需要大量資源，它們可以從一臺(tái)計(jì)算機(jī)發(fā)起，這使得它們非常容易啟動(dòng)且難以緩解。

如何減輕和防止緩慢的 DDoS 后攻擊

由于傳統(tǒng)的速率檢測(cè)技術(shù)無法阻止慢速 DDoS 攻擊，因此一種方法是升級(jí)服務(wù)器可用性。我們的想法是，服務(wù)器上可用的連接越多，攻擊就越不可能淹沒該服務(wù)器。不幸的是，在許多情況下，攻擊者會(huì)簡(jiǎn)單地?cái)U(kuò)大攻擊范圍以試圖使增加的服務(wù)器容量過載。另一種方法是基于反向代理的保護(hù)，它將在到達(dá)服務(wù)器之前攔截慢速 DDoS 攻擊。雖然沒有任何措施可以完全消除慢后 DDoS 攻擊的威脅，但可以采取以下額外步驟：

• 為接受消息頭和正文的每個(gè)資源設(shè)置更嚴(yán)格的特定于 URL 的限制。
• 根據(jù)來自合法客戶端的連接中位數(shù)設(shè)置絕對(duì)連接超時(shí)。
• 對(duì)于支持 backlog 的 HTTP 服務(wù)器，請(qǐng)確保 backlog 足夠大以抵御小型 DDoS 攻擊。
• 建立最小傳入數(shù)據(jù)速率，然后丟棄任何比該速率慢的連接。
• 考慮添加更多DDoS 保護(hù)措施，例如事件驅(qū)動(dòng)的軟件負(fù)載平衡器、用于執(zhí)行延遲綁定的硬件負(fù)載平衡器，以及用于丟棄與從日志文件中收集的可疑行為模式相匹配的連接的入侵檢測(cè)/預(yù)防系統(tǒng)。