墨者安全分享：CC攻击的变异品种--慢速攻击

对网络安全有过一定了解的人肯定都听过DDOS攻击和CC攻击，DDOS主要针对IP攻击，CC攻击主要是用来攻击网页的，两者都是通过控制大量僵尸网络肉鸡流量对目标发起攻击的，对于没有高防服务的企业来说简直就是灭顶之灾。而且这两种攻击方式还在不断“进化”，让防御变得越来越困难。今天墨者安全就来说说CC攻击的一个变异品种--慢速攻击。

慢速攻击的攻击原理：

对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接，指定一个比较大的content-length，然后以非常低的速度发包，比如1-10s发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。

和CC攻击一样，只要Web服务器开放了Web服务，那么它就可以是一个靶子，HTTP协议在接收到request之前是不对请求内容作校验的，所以即使你的Web应用没有可用的form表单，这个攻击一样有效。

在客户端以单线程方式建立较大数量的无用连接，并保持持续发包的代价非常的低廉。实际试验中一台普通PC可以建立的连接在3000个以上。这对一台普通的web server，将是致命的打击。更不用说结合肉鸡群做分布式DOS了。

鉴于此攻击简单的利用程度、拒绝服务的后果、带有逃逸特性的攻击方式，这类攻击一炮而红，成为众多攻击者的研究和利用对象。

慢速攻击的种类：

Slow body：攻击者发送一个HTTP POST请求，该请求的Content-Length头部值很大，使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据，但攻击客户端每次只发送很少量的数据，使该连接一直保持存活，消耗服务器的连接和内存资源。

Slow headers：Web应用在处理HTTP请求之前都要先接收完所有的http头部，因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点，发起一个HTTP请求，一直不停的发送HTTP头部，消耗服务器的连接和内存资源。

Slow read：客户端与服务器建立连接并发送了一个HTTP请求，客户端发送完整的请求给服务器端，然后一直保持这个连接，以很低的速度读取Response，比如很长一段时间客户端不读取任何数据，通过发送Zero Window到服务器，让服务器误以为客户端很忙，直到连接快超时前才读取一个字节，以消耗服务器的连接和内存资源。

慢速攻击怎么防御？

传统的CC攻击防御主要是通过阈值的方式来防护，进行流量清洗，而对于慢速攻击而言，这种防御方式效果并不明显。根据慢速攻击的攻击原理，可以通过墨者安全自研的WAF指纹识别架构，过滤掉异常的CC攻击流量。不管是CC攻击还是DDOS攻击，如果没有提前做好防护措施，都会给企业造成难以估算的经济损失。所以企业一定要提高网络安全意识，提前做好网络安全防护措施，保障企业网络安全。