个性化阅读
专注于IT技术分析
        找回密码
当前位置:srcmini > Kali Linux > 正文

如何在Kali Linux中使用SlowHTTPTest(测试服务器Slowloris保护)执行DoS攻击”Slow HTTP”

2020-05-03 17:49:06 分类:Kali Linux / Linux 阅读(3635) 评论(0)

本文概述

大多数不关心服务器安全性的Web管理员通常都是许多黑帽黑客知道如何大规模执行攻击的目标。这些棘手的攻击之一是针对任何Web服务器的慢速HTTP攻击。让我们以图形方式快速说明攻击的外观:

Slowloris示例

很简单, 对吧?但是, 对于配置错误的服务器来说, 这可能是个厄运, 硬件不会被推到极限, 但是它基本上是为了教育而挂起的……(我知道这是一个糟糕的例子)。没听懂吗?想象一下, 将100个老祖母送到一家商店, 他们所有人都在试图讲述一个从童年到收银员的故事, 以便其他顾客都买不到任何东西。为了教育, 收银员不会把祖母踢出商店, 直到他们讲完这个故事。

因此, 如何轻松地对服务器进行此类攻击而又不死于尝试? SlowHTTPTest是一个高度可配置的工具, 它通过以不同方式延长HTTP连接来模拟某些”应用程序层拒绝服务”攻击。用它来测试你的Web服务器的DoS漏洞, 或者只是弄清楚它可以处理多少个并发连接。 SlowHTTPTest可在大多数Linux平台, OS X和Cygwin(适用于Microsoft Windows的类似于Unix的环境和命令行界面)上运行, 并带有Dockerfile来使事情变得更加容易。

当前, slowhttptest库支持的攻击是:

  • Slowloris
  • 缓慢的HTTP POST
  • Apache Range标头
  • 慢读

在本文中, 我们将教你如何在Kali Linux系统上安装slowhttptest以及如何在服务器上执行此攻击。

1.安装慢速httptest

存储库中提供了Slowhttptest库, 因此你可以使用以下命令从命令行轻松安装它:

# update repos first
sudo apt-get update

# Install the tool
sudo apt-get install slowhttptest

有关此工具的更多信息, 请访问Github上的官方存储库。

2.运行测试

Slowloris和Slow HTTP POST DoS攻击依赖于以下事实:根据设计, HTTP协议要求服务器在处理请求之前将其完全接收。如果HTTP请求未完成, 或者传输速率很低, 则服务器将使其资源繁忙, 以等待其余数据。如果服务器使过多的资源繁忙, 则会导致拒绝服务。该工具正在发送部分HTTP请求, 试图从目标HTTP服务器获得拒绝服务。

慢读DoS攻击的目标资源与慢传和慢速POST相同, 但是它不会延长请求, 而是发送合法的HTTP请求并缓慢读取响应。运行攻击以检查服务器是否为以下服务器的命令:

请注意, 如果在目标服务器上没有针对这种攻击的保护措施, 这将使服务器挂起。

slowhttptest -c 500 -H -g -o ./output_file -i 10 -r 200 -t GET -u http://yourwebsite-or-server-ip.com -x 24 -p 2

命令描述如下:

  • -c:指定在测试过程中建立的目标连接数(在此示例中为500, 通常200个足以挂起没有这种攻击保护功能的服务器)。
  • -H:在SlowLoris模式下启动slowhttptest, 发送未完成的HTTP请求。
  • -g:当测试以文件名中的时间戳记结束时, 强制slowhttptest生成CSV和HTML文件。
  • -o:指定自定义文件名, 对-g有效。
  • -i:指定慢速跟踪和慢速POST测试的后续数据之间的间隔(以秒为单位)。
  • -r:指定连接速率(每秒)。
  • -t:指定在HTTP请求中使用的动词(POST, GET等)。
  • -u:指定要攻击的服务器的URL或IP。
  • -x:以”慢读”模式启动slowhttptest, 并缓慢读取HTTP响应。
  • -p:指定在将服务器标记为DoSed之前, 等待探针响应HTTP响应的间隔(以秒为单位)。

现在, 如果我们在目标服务器上运行该命令, 则在终端上将获得类似的输出:

Kali Linux终端输出Slowloris失败

如你所见, 我们的目标是我们自己的网站, 但是即使有500个连接, 我们的服务器也不会挂起, 因为我们确实可以防御这种攻击。如果目标可达到, 则可用的服务将始终为”是”。你可以使用另一台计算机/网络测试该网站是否确实仍在运行。由我们的选项创建的HTML生成输出将是以下内容:

Slowloris状态输出SlowHTTPTest

但是, 如果我们禁用服务器中针对慢速HTTP攻击的防护, 该怎么办?嗯, 输出应该不同, 并且目标服务器上的网站将无法访问:

Slowloris成功攻击

不要总是信任可提供服务的消息, 只需尝试从浏览器访问真实网站, 你就会看到它是否有效。由于网站无法访问, 这次生成的输出有所不同:

Slowloris成功攻击图

请注意, 慢速HTTP测试需要在你自己的服务器上执行, 请勿在未经其同意的任何第三方服务器上运行这种测试, 因为这可能会给你带来很多麻烦(这是非法的)。该工具旨在用于测试你自己的服务器并对其实施保护。我们写了一篇很好的文章, 介绍如何使用QoS保护Apache服务器免受这种攻击。

此外, 请勿尝试在我们的网站(ourcodeworld.com)上进行此攻击, 因为我们显然可以抵御此攻击, 并且如果我们追踪到你的意图, 则你的IP可能会被禁止, 谢谢!

编码愉快!

赞(0)
未经允许不得转载:srcmini » 如何在Kali Linux中使用SlowHTTPTest(测试服务器Slowloris保护)执行DoS攻击”Slow HTTP”
标签:

相关推荐

评论 抢沙发

评论前必须登录!

 

猜你喜欢

热门标签

网站开发 (2587)WordPress开发 (2055)WordPress主题 (1517)Web开发 (692)主题 (527)数据科学 (444)教程合集 (317)资源合集 (316)函数 (287)页面 (267)python开发 (261)项目示例 (243)WordPress自定义页面 (233)图像 (219)错误 (213)网站 (189)UX设计 (187)Web安全 (179)模板 (178)Web运维 (177)应用程序 (177)WordPress插件 (176)插件 (171)前端开发 (166)算法 (150)woocommerce (149)数据结构 (149)常见问题 (142)设计 (138)网红 (138)