在慢發(fā)布 DDoS?攻擊中，攻擊者將合法的 HTTP POST 標頭發(fā)送到?Web?服務(wù)器。在這些標頭中，正確指定了將遵循的消息正文的大小。但是，消息正文以令人痛苦的低速發(fā)送。這些速度可能慢到每?jì)煞昼娨粋€(gè)字節。由于消息被正常處理，目標服務(wù)器將盡力遵循指定的規則。就像在Slowloris 攻擊中一樣，服務(wù)器隨后會(huì )變慢到爬行。更糟糕的是，當攻擊者同時(shí)發(fā)起數百甚至數千個(gè)慢速POST攻擊時(shí)，服務(wù)器資源被迅速消耗，使得合法連接無(wú)法實(shí)現。

DDoS 攻擊后緩慢的跡象是什么？

慢 Post DDoS 攻擊的特點(diǎn)是傳輸針對基于線(xiàn)程的 Web 服務(wù)器的 HTTP POST 標頭請求，發(fā)送數據非常緩慢，但不足以使服務(wù)器超時(shí)。由于服務(wù)器保持連接打開(kāi)以期待額外的數據，因此阻止了真正的用戶(hù)訪(fǎng)問(wèn)服務(wù)器。服務(wù)器看起來(lái)有大量連接的客戶(hù)端，但實(shí)際處理負載會(huì )非常低。

為什么緩慢的后期 DDoS 攻擊很危險？

由于慢后 DDoS 攻擊不需要大量帶寬，例如蠻力DDoS 攻擊所需的帶寬，因此很難將它們與正常流量區分開(kāi)來(lái)。由于這些類(lèi)型的應用層 DDoS 攻擊不需要大量資源，它們可以從一臺計算機發(fā)起，這使得它們非常容易啟動(dòng)且難以緩解。

如何減輕和防止緩慢的 DDoS 后攻擊

由于傳統的速率檢測技術(shù)無(wú)法阻止慢速 DDoS 攻擊，因此一種方法是升級服務(wù)器可用性。我們的想法是，服務(wù)器上可用的連接越多，攻擊就越不可能淹沒(méi)該服務(wù)器。不幸的是，在許多情況下，攻擊者會(huì )簡(jiǎn)單地擴大攻擊范圍以試圖使增加的服務(wù)器容量過(guò)載。另一種方法是基于反向代理的保護，它將在到達服務(wù)器之前攔截慢速 DDoS 攻擊。雖然沒(méi)有任何措施可以完全消除慢后 DDoS 攻擊的威脅，但可以采取以下額外步驟：

• 為接受消息頭和正文的每個(gè)資源設置更嚴格的特定于 URL 的限制。
• 根據來(lái)自合法客戶(hù)端的連接中位數設置絕對連接超時(shí)。
• 對于支持 backlog 的 HTTP 服務(wù)器，請確保 backlog 足夠大以抵御小型 DDoS 攻擊。
• 建立最小傳入數據速率，然后丟棄任何比該速率慢的連接。
• 考慮添加更多DDoS 保護措施，例如事件驅動(dòng)的軟件負載平衡器、用于執行延遲綁定的硬件負載平衡器，以及用于丟棄與從日志文件中收集的可疑行為模式相匹配的連接的入侵檢測/預防系統。