HTTP慢速攻击原理及解决办法

目录

引言

HTTP慢速攻击原理

解决办法

Nginx

Tomcat

华宇TAS

IIS

结论

---

引言

HTTP慢速攻击（Slow HTTP Attack）是一种拒绝服务攻击（DoS），攻击者通过故意缓慢地发送HTTP请求来耗尽服务器资源，导致合法用户无法访问服务。这种攻击利用了HTTP协议的特性，使得服务器在等待客户端完成请求时消耗大量资源，最终导致服务器性能下降甚至崩溃。

本文将详细介绍HTTP慢速攻击的原理，并针对Nginx、Tomcat和IIS等常见的Web服务器提供具体的防御配置方法。

HTTP慢速攻击原理

1. Slowloris攻击：

   • 攻击者发送多个不完整的HTTP请求头，每个请求占用一个连接。
   • 服务器会一直等待这些请求的完整数据，直到超时。
   • 当所有可用连接都被占用时，新的合法请求将无法建立连接。

2. Slow POST攻击：

   • 攻击者发送一个带有大Content-Length值的POST请求，但每次只发送少量数据。
   • 服务器会一直等待剩余的数据，直到超时。
   • 同样会导致服务器资源耗尽，无法处理新的请求。

解决办法

Nginx

1. 设置连接超时时间：

   http {
       client_body_timeout 10;
       client_header_timeout 10;
       send_timeout 10;
   }

   这些指令设置了客户端发送请求体、请求头和服务器发送响应的最大等待时间。

2. 限制每个IP的连接数：

   http {
       limit_conn_zone $binary_remote_addr zone=addr:10m;
       server {
           location / {
               limit_conn addr 10;
           }
       }
   }

   limit_conn_zone指令定义了一个共享内存区域来存储连接信息，limit_conn指令限制了每个IP地址的最大连接数。

3. 启用缓冲区限制：

   http {
       client_body_buffer_size 10k;
       client_max_body_size 8m;
   }

   这些指令限制了客户端请求体的缓冲区大小和最大请求体大小。

Tomcat

1. 设置连接超时时间 ： 编辑server.xml文件，设置connectionTimeout属性：

   <Connector port="8080" protocol="HTTP/1.1"
              connectionTimeout="10000"
              redirectPort="8443" />

   将连接超时时间设置为10秒。

2. 限制每个IP的连接数 ： 编辑server.xml文件，设置maxConnections属性：

   <Connector port="8080" protocol="HTTP/1.1"
              maxConnections="1000"
              connectionTimeout="10000"
              redirectPort="8443" />

   设置最大并发连接数为1000。

3. 启用缓冲区限制 ： 编辑server.xml文件，设置maxPostSize属性：

   <Connector port="8080" protocol="HTTP/1.1"
              maxPostSize="8192"
              connectionTimeout="10000"
              redirectPort="8443" />

   设置POST请求的最大大小为8KB。

华宇TAS

如下图：

IIS

1. 设置连接超时时间 ： 编辑applicationHost.config文件，设置connectionTimeout属性：

   <system.applicationHost>
       <sites>
           <site name="Default Web Site" id="1">
               <bindings>
                   <binding protocol="http" bindingInformation="*:80:" />
               </bindings>
           </site>
       </sites>
       <webLimits connectionTimeout="00:00:10" />
   </system.applicationHost>

   将连接超时时间设置为10秒。

2. 限制每个IP的连接数： 使用IIS管理器或命令行工具设置每个IP的最大连接数：

   Set-WebConfigurationProperty -pspath 'MACHINE/WEBROOT/APPHOST'  -filter "system.webServer/security/dynamicIpRestrictions" -name "max ConcurrentRequests" -value "10"

3. 启用缓冲区限制 ： 编辑web.config文件，设置maxAllowedContentLength属性：

   <configuration>
       <system.webServer>
           <security>
               <requestFiltering>
                   <requestLimits maxAllowedContentLength="8388608" />
               </requestFiltering>
           </security>
       </system.webServer>
   </configuration>

   设置请求的最大内容长度为8MB。

结论

HTTP慢速攻击是一种常见的DoS攻击手段，通过消耗服务器资源来阻止合法用户的访问。针对Nginx、Tomcat和IIS等常用的Web服务器，可以通过设置连接超时时间、限制每个IP的连接数和启用缓冲区限制等方法来有效防御此类攻击。希望本文提供的配置示例能帮助你更好地保护你的Web服务器免受HTTP慢速攻击的影响。