2019独角兽企业重金招聘Python工程师标准>>>

首先声明:这个文章我描述的是一次比较失败的WEB攻击试验,理论基础是一次在网上看到的一篇关于"慢攻击"的概念,那什么叫慢攻击呢?

在解释这个"慢攻击"概念之前,先讲下HTTP的请求报文头,HTTP的请求报文头是以\r\n\r\n为结束的,服务器在接收到这个标志符之后,才认为请求报文结束,转入做相应的WEB处理。这个"慢攻击"就是利用这个机制。

攻击方式:首先一个客户端向服务器发起HTTP请求后,不做大规模的数据包发送,但就是一直不发送\r\n\r\n这个结束符,并且客户端每隔一段时间又向服务器发送小量的参数数据包,如&a=1。此时服务器一边在等待客户端输入参数结束符,另外一边由于每隔一段时间又收到数据包,不认为客户端断线。久而久之,就把服务器拖死了。从另以方面讲,由于发送的数据包不多,并且一直没有输入结束符,在web服务器的访问日志文件又看不到访问记录,严重的来讲,服务器怎么死的都不知道。

但是,测试的结果离预期太遥远了,以下是攻击步骤:

我写的代码有点乱,就不贴出来献丑了,基本的测试方式是:

1、每隔线程中开启一批socket连接到目标服务器(一个线程中的socket数由启动脚本参数设置),先调用这些socket向服务器发正常的HTTP请求串,然后在线程中每隔几秒钟调用这些socket向服务端写参数数据;

2、每个进程中开启多个线程,每隔进程开启的线程数由启动脚本参数设置;

3、编写一个批量启动进程脚本,一个脚本启动的进程数由命令行输入参数设置;

4、 一切条件具备了,拿内网的一台weblogic11g开涮,从weblogic控制台看,socket的连接已经超过3万,但对weblogic来说好像没啥事。后来又验证了weblogic的另外一个特性:不管是输入还是输出,连接超过一定的时间(输入默认好像是60秒),不管三七二十一,直接将请求咔嚓掉。

5、后续又拿tomcat7.0做测试,也以失败告终;

欢迎大家指正....

另外,网络上关于WEB服务器攻击的文章很多,大多讲DoS和DDos,并有相关工具,虽然铺天盖地的说很NB,因为这些工具本人还没亲自试验过,所以这里不对这些进行描述,如果有实战经验的大虾们,可以一起分享下。

转载于:https://my.oschina.net/hetiangui/blog/135060

实战:一次失败的WEB攻击试验,欢迎高手补充相关推荐

  1. 【技术干货】浏览器工作原理和常见WEB攻击 (下)

    本文作者:上海驻云开发总监 陈昂 上篇给大家带来的是关于浏览器基本工作原理的总结和介绍,这篇文章重点给大家说明有哪些常见WEB攻击. 常见WEB攻击 互联网是个面向全世界的开放平台,越是开放的东西漏洞 ...

  2. Web 攻击越发复杂,如何保证云上业务高可用性的同时系统不被入侵?| 专家谈...

    如今,电子政务.电子商务.网上银行.网上营业厅等依托Web应用,为广大用户提供灵活多样的服务.在这之中,流量攻击堪称是Web应用的最大敌人,黑客通过流量攻击获取利益.竞争对手雇佣黑客发起恶意攻击.不法 ...

  3. HTTP通信安全和Web攻击技术

    HTTP通信安全和Web攻击技术 一.HTTPS,确保Web安全 1.1 通信使用明文可能会被窃听 1.1.1 通信的加密(建立安全通信线路) 1.1.2 内容的加密 1.2 不验证通信方的身份就可能 ...

  4. 前端学HTTP之web攻击技术

    前端学HTTP之web攻击技术 前面的话 简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象.应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目 ...

  5. 十年网安行业代表性案例出炉,中睿天下Web攻击溯源案例实力入选

    近日,由ISC互联网安全大会.数说安全联合开展的"十年网安行业代表性案例"评选结果出炉,经过自主申报.专家评审.线上答辩,共评选出31个网络安全优秀案例,中睿天下某金融行业客户睿眼 ...

  6. Web攻击常见攻击方式及防范方案

    Web攻击(WebAttack)是针对用户上网行为或网站服务器等设备进行攻击的行为,如植入恶意代码,修改网站权限,获取网站用户隐私信息等等,Web应用程序的安全性是任何基于Web业务的重要组成部分确保 ...

  7. 常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站点请求伪造

    常见的Web攻击有SQL注入.XSS跨站脚本攻击.跨站点请求伪造共三类,下面分别简单介绍. 1 SQL注入 1.1 原理 SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字 ...

  8. 典型Web攻击(网络空间安全实训)

    典型****Web攻击 1.实验内容与环境 1.1实验内容 SQL注入.XSS.CSRF.文件上传.目录遍历(SQL注入必做,其它四选一).可以基于如下实验环境,也可以百度"实验楼" ...

  9. 网络/Network - 网络安全 - 常见web攻击与防护

    前言 网络世界, 没有所谓的安全, 任何系统都存在漏洞, 只要时间足够以及具备值得被攻破的价值. 就会被攻击. 攻与防之间,本来就没有绝对的安全. 我们能做的就是,尽量提高攻击的成本. 有时有些方案虽 ...

最新文章

  1. 如何成为软件工程师的团队合作者
  2. 我下载的mysql解压后没有安装_mysql 解压版安装配置方法教程
  3. CSS :hover 伪类
  4. 浏览器无法打开摄像头
  5. 转】.NET强名称工具(Sn.exe)使用详解
  6. 2021年财富世界500强,苹果是全球最赚钱公司,小米第338位,第一是它
  7. php mysql 高亮显示_PHP实现多关键字加亮功能
  8. (转)使用Flexible实现手淘H5页面的终端适配
  9. 彻底卸载SQL Server
  10. 双网卡上网冲突解决_产品介绍 | H3C 终端准入控制解决方案
  11. java resource文件_利用java如何实现读取resource目录下文件
  12. WIN10系统在中国知网下载期刊封面、扉页、目录的PDF版本
  13. Ubuntu搭建CTFd平台实现动态靶机的过程
  14. vue -- watermark水印添加方法
  15. Packets larger than max_allowed_packet are not allowed
  16. python 字典循环赋值,Python字典循环添加一键多值的用法实例
  17. 应聘恩智浦时考察正则表达式
  18. android游戏开发原理及关键技术
  19. 【Python 身份证JSON数据读取】——身份证前六位地区码对照表文件(最全版-JSON文件)
  20. USB扫描枪设置流程 扫描枪使用

热门文章

  1. php 单一入口 seo,网站结构分类(单一入口还是多入口)
  2. android mac测试地址,android获取有线网的Mac地址
  3. Java项目:CRM客户管理系统(java+SSM+jsp+mysql+maven)
  4. python查看目录下的文件_Python——查看目录下所有的目录和文件
  5. HashSet中的add()方法( 三 )(详尽版)
  6. YAML 语言入门教程
  7. nginx技术(2)nginx的配置详解
  8. Vue中组件数据的传递
  9. Nodejs Express dockerfile最佳实践
  10. 如何更快速加载你的JS页面