慢速攻击现象，被慢速cc攻击怎么防御？

对网络安全有过一定了解的人肯定都听过DDoS攻击和CC攻击，DDOS主要针对IP攻击，CC攻击主要是用来攻击网页的，两者都是通过控制大量僵尸网络肉鸡流量对目标发起攻击的，对于没有高防服务的企业来说简直就是灭顶之灾。而且这两种攻击方式还在不断“进化”，让防御变的越来越困难。

一说起慢速攻击，就要谈谈它的成名历史了。HTTP Post慢速DoS攻击第一次在技术社区被正式披露是2012年的OWASP大会上，由Wong Onn Chee 和 Tom Brennan共同演示了使用这一技术攻击的威力。

今天墨者安全就来说说CC攻击的一个变异品种--慢速攻击。

慢速攻击的攻击原理：

对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接，指定一个比较大的content-length，然后以非常低的速度发包，比如1-10s发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。

和CC攻击一样，只要Web服务器开放了Web服务，那么它就可以是一个靶子，HTTP协议在接收到request之前是不对请求内容作校验的，所以即使你的Web应用没有可用的form表单，这个攻击一样有效。

在客户端以单线程方式建立较大数量的无用连接，并保持持续发包的代价非常的低廉。实际试验中一台普通PC可以建立的连接在3000个以上。这对一台普通的web server，将是致命的打击。更不用说结合肉鸡群做分布式DOS了。

鉴于此攻击简单的利用程度、拒绝服务的后果、带有逃逸特性的攻击方式，这类攻击一炮而红，成为众多攻击者的研究和利用对象。

慢速攻击的种类：

Slow body：攻击者发送一个HTTP POST请求，该请求的Content-Length头部值很大，使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据，但攻击客户端每次只发送很少量的数据，使该连接一直保持存活，消耗服务器的连接和内存资源。

Slow headers：Web应用在处理HTTP请求之前都要先接收完所有的http头部，因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点，发起一个HTTP请求，一直不停的发送HTTP头部，消耗服务器的连接和内存资源。

Slow read：客户端与服务器建立连接并发送了一个HTTP请求，客户端发送完整的请求给服务器端，然后一直保持这个连接，以很低的速度读取Response，比如很长一段时间客户端不读取任何数据，通过发送Zero Window到服务器，让服务器误以为客户端很忙，直到连接快超时前才读取一个字节，以消耗服务器的连接和内存资源。

哪些服务器易被慢速攻击
慢速攻击主要利用的是thread-based架构的服务器的特性，这种服务器会为每个新连接打开一个线程，它会等待接收完整个HTTP头部才会释放连接。比如Apache会有一个超时时间来等待这种不完全连接（默认是300s），但是一旦接收到客户端发来的数据，这个超时时间会被重置。正是因为这样，攻击者可以很容易保持住一个连接，因为攻击者只需要在即将超时之前发送一个字符，便可以延长超时时间。而客户端只需要很少的资源，便可以打开多个连接，进而占用服务器很多的资源。

经验证，Apache、httpd采用thread-based架构，很容易遭受慢速攻击。而另外一种event-based架构的服务器，比如nginx和lighttpd则不容易遭受慢速攻击。

防御原理
针对HTTP慢速攻击的特点，Anti-DDoS设备对每秒钟HTTP并发连接数进行检查，当每秒钟HTTP并发连接数超过设定值时，会触发HTTP报文检查，检查出以下任意一种情况，都认定受到HTTP慢速连接攻击，则将该源IP地址判定为攻击源，加入动态黑名单，同时断开此IP地址与HTTP服务器的连接。

连续多个HTTP POST报文的总长度都很大，但是其HTTP载荷长度都很小。
连续多个HTTP GET/POST报文的报文头都没有结束标识。

慢速攻击怎么防御？

传统的CC攻击防御主要是通过阈值的方式来防护，进行流量清洗，而对于慢速攻击而言，这种防御方式效果并不明显。根据慢速攻击的攻击原理，可以通过墨者安全自研的WAF指纹识别架构，过滤掉异常的CC攻击流量。不管是CC攻击还是DDoS攻击，如果没有提前做好防护措施，都会给企业造成难以估算的经济损失。所以企业一定要提高网络安全意识，提前做好网络安全防护措施，保障企业网络安全。