快速搭建网站wordpress,哈尔滨哪里有做网站的,自助建站 源码,wordpress 管理员权限设置应用层#xff08;application layer#xff09;是七层OSI模型的第七层。应用层直接和应用程序 对接并提供常见的网络应用服务#xff0c;能够在实现多个系统应用进程相互通信的同 时#xff0c;完成一系列业务处理所需的服务。位于应用层的协议有很多#xff0c;常见的包… 应用层application layer是七层OSI模型的第七层。应用层直接和应用程序 对接并提供常见的网络应用服务能够在实现多个系统应用进程相互通信的同 时完成一系列业务处理所需的服务。位于应用层的协议有很多常见的包括 HTTP 、FTP 、DNS 、DHCP等。其中应用层中的每一个协议都有可能被用来发起 拒绝服务攻击。不同于其他层应用层拒绝服务攻击已经完成了TCP的三次握 手建立起了连接所以发起攻击的IP地址都是真实的。常见的应用层拒绝服务 攻击有CCChallenge Collapasar攻击、Slowloris攻击、Server Limit DOS等。下 面就这几种常见的攻击进行简单介绍 ·CC攻击对一些资源消耗查询数据库、读写硬盘文件等较大的应用页 面不断发起正常的请求以达到消耗服务资源的目的。 · Slowloris攻击以极低的速度向服务器发送HTTP请求。由于Web Server对于 并发的连接数都有一定的上限因此若恶意地占用这些连接不释放那么Web Server的所有连接都将被恶意连接占用从而无法接受新的请求导致拒绝服 务。 · Server Limit DoS在发送HTTP POST包时指定一个非常大的Content- Length值然后以很低的速度发包这样当客户端连接数过多以后 占用了Web Server的所有可用连接从而导致DoS。 本节以Slowloris攻击为例进行详细介绍。Slowloris是在2009年由著名Web安 全专家RSnake提出的一种攻击方法其原理是通过恶意占用有效连接从而导致 无法接受新的请求达到目标服务器拒绝服务的效果。 HTTP协议HTTP Request以“\r\n\r\n” 结尾表示客户端发送结束服务器端开 始处理。那么如果永远不发送“\r\n\r\n”会如何Slowloris就是利用这一点来做 DDoS攻击。攻击者在HTTP请求头中将Connection设置为Keep-Alive 要求Web Server保持TCP连接不断开随后缓慢地每隔几分钟发送一个key-value格式的数据 包到服务器端例如a b\r\n 导致服务器端认为HTTP头部没有接收完成而一直 等待。如果攻击者使用多线程或者僵尸主机来做同样的操作服务器的Web容器 很快就被攻击者占满了TCP连接而不再接受新的请求。不过Apache官方否认 Slowloris 的攻击方式是一个漏洞他们认为这是Web Server的一种特性通过调 整参数能够缓解此类问题这使得Slowloris攻击今天仍然很有效。 Slowloris有现成的工具脚本通过pip安装以后就能直接使用。但要在 Windows系统下使用slowloris命令时注意要切换到当前Python环境的Scripts目 录要么将该目录加入环境变量。在Linux系统则可直接使用。 安装之后可以直接输入slowloris-h命令查看帮助信息效果如下所示 通过帮助信息也可以发现Slowloris工具使用起来也很简单只需要执行如下 指令即可 slowloris ip 但是默认情况下Slowloris有150个连接效果可能不明显。可以使用-s参数指 定连接数如1500 slowloris 10 .0 .2 .16 -s 1500 执行效果如下所示 在Slowloris脚本执行结束后通过Wireshark捕获流量信息其捕获效果如图 9-20所示源IP地址为10.0.2.15 目的IP地址为10.0.2.16。 图9-20 Wireshark流量捕获效果 如图9-21所示通过Wireshark捕获到的流量可以发现HTTP发送结尾的字 符为4026\r\n 这样导致服务器端认为HTTP头部没有接收完成而一直等待。如果 多个僵尸主机一同这样操作很容易就会使目标主机宕机。 图9-21 HTTP发送结尾字符 防御策略 怎么样可以确保在遭受拒绝服务攻击的情况下让服务器系统正常运行呢 或者如何减轻拒绝服务攻击的危害下面列出了几个常见的防御策略
· 关闭不需要的服务和端口实现服务最小化让服务器提供专门服务。
· 安装查杀病毒的软硬件产品及时更新病毒库。尽量避免因为软件漏洞而引 起的拒绝服务定期扫描现有的主机和网络节点对安全漏洞和不规范的安全配 置进行及时整改对先前的漏洞及时打补丁。
· 经常检测网络和主机的脆弱性查看网上漏洞数据库以减少或避免主机成 为“ 肉鸡” 的可能性。
· 建立多节点的负载均衡配备高于业务需求的带宽建立多个网络出口提 高服务器的运算能力。
