slow http attack 简介及防护办法

简介

slow http attack也叫HTTP慢速攻击，是一种ddos攻击的变体版本。通常来说，它通过向服务器发送正常的http请求，只不过请求的头或者请求体的内容特别长，发送速度有特别慢，这样每一个连接占用的时间就会变得特别长，攻击者会在短时间内持续不断的对服务器进行http请求，很快便会耗尽服务端的资源，从而令服务端拒绝服务。

几种基本攻击方式：

Slow headers：Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部，Web服务器再没接收到2个连续的\r\n时，会认为客户端没有发送完头部，而持续的等等客户端发送数据，消耗服务器的连接和内存资源。
Slow body：攻击者发送一个HTTP POST请求，该请求的Content-Length头部值很大，使得Web服务器或代理认为客户端要发送很大的数据。服务器会保持连接准备接收数据，但攻击客户端每次只发送很少量的数据，使该连接一直保持存活，消耗服务器的连接和内存资源。
Slow read：客户端与服务器建立连接并发送了一个HTTP请求，客户端发送完整的请求给服务器端，然后一直保持这个连接，以很低的速度读取Response，比如很长一段时间客户端不读取任何数据，通过发送Zero Window到服务器，让服务器误以为客户端很忙，直到连接快超时前才读取一个字节，以消耗服务器的连接和内存资源。

攻击模拟工具：

slowhttptest：https://github.com/shekyan/slowhttptest

防护方式：

想要彻底防护需要使用专用的硬件设备进行清洗流量清洗，如果只是简单的防护可以参考下面几个文章说的内容。另外，在tomcat中配置connectionTimeout参数也可以防止head攻击下的拒绝服务，但是对于body和read情况下没有能力解决（论坛上也说了，tomcat就不是做这个事儿的）。
https://www.haproxy.com/blog/what-is-a-slow-post-attack-and-how-turn-haproxy-into-your-first-line-of-defense/
https://yq.aliyun.com/articles/61331
https://www.cnblogs.com/cloudapps/p/4996050.html
https://my.oschina.net/tdd/blog/601572

其他资料：

对slow http attack的分类介绍比较详细，介绍了apache下的防护方式：
http://blog.nsfocus.net/cc-attack-defense/
slow http attack其他相关介绍，以及一些常见web服务在其攻击下的表现情况：
https://community.qualys.com/thread/15810
https://community.qualys.com/thread/11065
https://blog.qualys.com/tag/slow-http-attack
http://html.rhhz.net/buptjournal/html/2017s117.htm