实战:一次失败的WEB攻击试验,欢迎高手补充
2019独角兽企业重金招聘Python工程师标准>>>
首先声明:这个文章我描述的是一次比较失败的WEB攻击试验,理论基础是一次在网上看到的一篇关于"慢攻击"的概念,那什么叫慢攻击呢?
在解释这个"慢攻击"概念之前,先讲下HTTP的请求报文头,HTTP的请求报文头是以\r\n\r\n为结束的,服务器在接收到这个标志符之后,才认为请求报文结束,转入做相应的WEB处理。这个"慢攻击"就是利用这个机制。
攻击方式:首先一个客户端向服务器发起HTTP请求后,不做大规模的数据包发送,但就是一直不发送\r\n\r\n这个结束符,并且客户端每隔一段时间又向服务器发送小量的参数数据包,如&a=1。此时服务器一边在等待客户端输入参数结束符,另外一边由于每隔一段时间又收到数据包,不认为客户端断线。久而久之,就把服务器拖死了。从另以方面讲,由于发送的数据包不多,并且一直没有输入结束符,在web服务器的访问日志文件又看不到访问记录,严重的来讲,服务器怎么死的都不知道。
但是,测试的结果离预期太遥远了,以下是攻击步骤:
我写的代码有点乱,就不贴出来献丑了,基本的测试方式是:
1、每隔线程中开启一批socket连接到目标服务器(一个线程中的socket数由启动脚本参数设置),先调用这些socket向服务器发正常的HTTP请求串,然后在线程中每隔几秒钟调用这些socket向服务端写参数数据;
2、每个进程中开启多个线程,每隔进程开启的线程数由启动脚本参数设置;
3、编写一个批量启动进程脚本,一个脚本启动的进程数由命令行输入参数设置;
4、 一切条件具备了,拿内网的一台weblogic11g开涮,从weblogic控制台看,socket的连接已经超过3万,但对weblogic来说好像没啥事。后来又验证了weblogic的另外一个特性:不管是输入还是输出,连接超过一定的时间(输入默认好像是60秒),不管三七二十一,直接将请求咔嚓掉。
5、后续又拿tomcat7.0做测试,也以失败告终;
欢迎大家指正....
另外,网络上关于WEB服务器攻击的文章很多,大多讲DoS和DDos,并有相关工具,虽然铺天盖地的说很NB,因为这些工具本人还没亲自试验过,所以这里不对这些进行描述,如果有实战经验的大虾们,可以一起分享下。
转载于:https://my.oschina.net/hetiangui/blog/135060
实战:一次失败的WEB攻击试验,欢迎高手补充相关推荐
- 【技术干货】浏览器工作原理和常见WEB攻击 (下)
本文作者:上海驻云开发总监 陈昂 上篇给大家带来的是关于浏览器基本工作原理的总结和介绍,这篇文章重点给大家说明有哪些常见WEB攻击. 常见WEB攻击 互联网是个面向全世界的开放平台,越是开放的东西漏洞 ...
- Web 攻击越发复杂,如何保证云上业务高可用性的同时系统不被入侵?| 专家谈...
如今,电子政务.电子商务.网上银行.网上营业厅等依托Web应用,为广大用户提供灵活多样的服务.在这之中,流量攻击堪称是Web应用的最大敌人,黑客通过流量攻击获取利益.竞争对手雇佣黑客发起恶意攻击.不法 ...
- HTTP通信安全和Web攻击技术
HTTP通信安全和Web攻击技术 一.HTTPS,确保Web安全 1.1 通信使用明文可能会被窃听 1.1.1 通信的加密(建立安全通信线路) 1.1.2 内容的加密 1.2 不验证通信方的身份就可能 ...
- 前端学HTTP之web攻击技术
前端学HTTP之web攻击技术 前面的话 简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象.应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目 ...
- 十年网安行业代表性案例出炉,中睿天下Web攻击溯源案例实力入选
近日,由ISC互联网安全大会.数说安全联合开展的"十年网安行业代表性案例"评选结果出炉,经过自主申报.专家评审.线上答辩,共评选出31个网络安全优秀案例,中睿天下某金融行业客户睿眼 ...
- Web攻击常见攻击方式及防范方案
Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码,修改网站权限,获取网站用户隐私信息等等,Web应用程序的安全性是任何基于Web业务的重要组成部分确保 ...
- 常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站点请求伪造
常见的Web攻击有SQL注入.XSS跨站脚本攻击.跨站点请求伪造共三类,下面分别简单介绍. 1 SQL注入 1.1 原理 SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字 ...
- 典型Web攻击(网络空间安全实训)
典型****Web攻击 1.实验内容与环境 1.1实验内容 SQL注入.XSS.CSRF.文件上传.目录遍历(SQL注入必做,其它四选一).可以基于如下实验环境,也可以百度"实验楼" ...
- 网络/Network - 网络安全 - 常见web攻击与防护
前言 网络世界, 没有所谓的安全, 任何系统都存在漏洞, 只要时间足够以及具备值得被攻破的价值. 就会被攻击. 攻与防之间,本来就没有绝对的安全. 我们能做的就是,尽量提高攻击的成本. 有时有些方案虽 ...
最新文章
- 如何成为软件工程师的团队合作者
- 我下载的mysql解压后没有安装_mysql 解压版安装配置方法教程
- CSS :hover 伪类
- 浏览器无法打开摄像头
- 转】.NET强名称工具(Sn.exe)使用详解
- 2021年财富世界500强,苹果是全球最赚钱公司,小米第338位,第一是它
- php mysql 高亮显示_PHP实现多关键字加亮功能
- (转)使用Flexible实现手淘H5页面的终端适配
- 彻底卸载SQL Server
- 双网卡上网冲突解决_产品介绍 | H3C 终端准入控制解决方案
- java resource文件_利用java如何实现读取resource目录下文件
- WIN10系统在中国知网下载期刊封面、扉页、目录的PDF版本
- Ubuntu搭建CTFd平台实现动态靶机的过程
- vue -- watermark水印添加方法
- Packets larger than max_allowed_packet are not allowed
- python 字典循环赋值,Python字典循环添加一键多值的用法实例
- 应聘恩智浦时考察正则表达式
- android游戏开发原理及关键技术
- 【Python 身份证JSON数据读取】——身份证前六位地区码对照表文件(最全版-JSON文件)
- USB扫描枪设置流程 扫描枪使用
热门文章
- php 单一入口 seo,网站结构分类(单一入口还是多入口)
- android mac测试地址,android获取有线网的Mac地址
- Java项目:CRM客户管理系统(java+SSM+jsp+mysql+maven)
- python查看目录下的文件_Python——查看目录下所有的目录和文件
- HashSet中的add()方法( 三 )(详尽版)
- YAML 语言入门教程
- nginx技术(2)nginx的配置详解
- Vue中组件数据的传递
- Nodejs Express dockerfile最佳实践
- 如何更快速加载你的JS页面