在慢发布 DDoS 攻击中,攻击者将合法的 HTTP POST 标头发送到 Web 服务器。在这些标头中,正确指定了将遵循的消息正文的大小。但是,消息正文以令人痛苦的低速发送。这些速度可能慢到每两分钟一个字节。由于消息被正常处理,目标服务器将尽力遵循指定的规则。就像在Slowloris 攻击中一样,服务器随后会变慢到爬行。更糟糕的是,当攻击者同时发起数百甚至数千个慢速POST攻击时,服务器资源被迅速消耗,使得合法连接无法实现。
DDoS 攻击后缓慢的迹象是什么?
慢 Post DDoS 攻击的特点是传输针对基于线程的 Web 服务器的 HTTP POST 标头请求,发送数据非常缓慢,但不足以使服务器超时。由于服务器保持连接打开以期待额外的数据,因此阻止了真正的用户访问服务器。服务器看起来有大量连接的客户端,但实际处理负载会非常低。
为什么缓慢的后期 DDoS 攻击很危险?
由于慢后 DDoS 攻击不需要大量带宽,例如蛮力DDoS 攻击所需的带宽,因此很难将它们与正常流量区分开来。由于这些类型的应用层 DDoS 攻击不需要大量资源,它们可以从一台计算机发起,这使得它们非常容易启动且难以缓解。
如何减轻和防止缓慢的 DDoS 后攻击
由于传统的速率检测技术无法阻止慢速 DDoS 攻击,因此一种方法是升级服务器可用性。我们的想法是,服务器上可用的连接越多,攻击就越不可能淹没该服务器。不幸的是,在许多情况下,攻击者会简单地扩大攻击范围以试图使增加的服务器容量过载。另一种方法是基于反向代理的保护,它将在到达服务器之前拦截慢速 DDoS 攻击。虽然没有任何措施可以完全消除慢后 DDoS 攻击的威胁,但可以采取以下额外步骤:
- 为接受消息头和正文的每个资源设置更严格的特定于 URL 的限制。
- 根据来自合法客户端的连接中位数设置绝对连接超时。
- 对于支持 backlog 的 HTTP 服务器,请确保 backlog 足够大以抵御小型 DDoS 攻击。
- 建立最小传入数据速率,然后丢弃任何比该速率慢的连接。
- 考虑添加更多DDoS 保护措施,例如事件驱动的软件负载平衡器、用于执行延迟绑定的硬件负载平衡器,以及用于丢弃与从日志文件中收集的可疑行为模式相匹配的连接的入侵检测/预防系统。