聊聊Slowloris与慢速攻击

Slowloris回来了？

Slowloris这个DDoS攻击工具的出现，已经至少十多年的历史了，本来已经不怎么关注了，最近却突然又回到了视野当中。

一次是微软今年6月份的时候遭受了DDoS攻击，并影响到了Azure、Outlook、OneDrive等业务。当时国内媒体也有大量的报道，如：

最终微软官方披露了这次攻击事件，详细内容可以参考：

Microsoft Response to Layer 7 Distributed Denial of Service (DDoS) Attacks | MSRC Blog | Microsoft Security Response Center

值得注意的是，这里面专门提到了攻击手段包含Slowloris：

还有一次是最近群里面分享的一张图片，前几天日本开始排放核污水，有博主模拟了对日本各政府网站的攻击（当然，是虚拟环境模拟直播）。仔细一看，诶？有点意思，直播演示的就是在打慢速攻击。

因为这2个事情，作为引子吧，也摆一摆Slowloris和慢速攻击。

Slowloris历史

Slowloris最早是一个perl脚本，发布在http://ha.ckers.org/，这个网站目前作者已经关停了，感兴趣的可以看看https://web.archive.org/web/20150426090206/http:/ha.ckers.org/slowloris

现在github上有很多各种语言重写了的版本，都可以使用，自行搜索即可。

Slowloris在当年是一个非常好用的攻击工具，也正是其作者首创或者说让慢速攻击这种攻击方式进入了大家的视野。

Anonymous这个攻击组织在2016年发布了一个常用攻击工具包，还有专门的演示视频，这里面也出现了Slowloris，也让这个工具更广泛的被攻击者所使用。

重新去跑了一下Slowloris的最初版本，当看到运行时弹出的logo，真是满满的都是回忆啊。

当年天天讨论这个工具的原理和防护算法，测试验证过程，看到这个logo太亲切了。

Slowloris与慢速攻击原理及防护建议

最终回到干货吧，现在慢速攻击的攻击手段已经发展了很多种，kali也已经集成了各种慢速攻击工具，直接使用slowhttptest就行。目前已集成了4种攻击工具：

-H slow headers a.k.a. Slowloris (default)

-B slow body a.k.a R-U-Dead-Yet

-R range attack a.k.a Apache killer

-X slow read a.k.a Slow Read

Slow header

攻击原理：

在正常的HTTP包头中，是以两个CLRF表示HTTP Headers部分结束的。如果Web Server只收到了一个\r\n，将认为HTTP Headers部分没有结束，并保持此连接不释放，继续等待完整的请求。此时客户端再发送任意HTTP头，保持住连接，这样就会耗尽服务器线程池，导致服务器无法回复其他人拒绝服务。

这种类型的攻击只使用少量带宽，通过非常缓慢的、看起来是正常访问速率的请求来耗尽服务器资源，同时规避DDoS检测。

正常的http报文举例：