Slowhttptest 对 Slow HTTP Dos 的误判
当场滑跪
前段时间在巡检公司项目的时候发现了HTTP慢速拒绝服务攻击(Slow HTTP Dos)
于是就下发让项目运维去修复了,但是反馈说明明配置了正确的参数,于是我当(zhi)场(jie)滑(dao)跪(qian) ORZ
发生了什么
所以是发生了什么?漏扫就那么垃圾和我过不去这么多误报?我还好好用 slowhttptest 去验证了,确实存在
service available: NO的显示,图就不发了,拿阿B的给你们看看:后来看得多了我发现(其实早就发现了),slowhttptest 的
slowbody模式下很容易出现service available: NO,read和header就很容易通过测试
但是归根到底是否触发拒绝服务,肯定看:
- 网站载入延时
- 网站是否还可访问
在看了星球守护者 的漏洞复现后我发现,用 slowhttptest 验证 Slow HTTP Dos 真实存在,需要注意:
1 | 1. slow HTTP test status on Xth second: X 数字较小,即较早就开始拒绝服务 |
不得不说
其实 Dos 类的漏洞你很不好说,因为访问量过大必然服务器承受不住,这个只能做缓解(流量分析、请求时限、扩容等等)
所以漏扫出来是否存在这个漏洞或者 slowhttptest 的service available: NO,有可能是看片面了(某些请求在开始或者后来被识别后被拒绝、中断,或者网页响应时间是否有某个范围内的增量变化等,尤其是这个增量变化,我曾经发现因为一个资产页面正常请求的数量会变化,时延直接从几百ms级变成几s级的)好吧,okk
