应用层DoS

应用层（application layer）是七层OSI模型的第七层。应用层直接和应用程序对接并提供常见的网络应用服务，能够在实现多个系统应用进程相互通信的同

时，完成一系列业务处理所需的服务。位于应用层的协议有很多，常见的包括

HTTP 、FTP 、DNS 、DHCP等。其中应用层中的每一个协议都有可能被用来发起拒绝服务攻击。不同于其他层，应用层拒绝服务攻击已经完成了TCP的三次握

手，建立起了连接，所以发起攻击的IP地址都是真实的。常见的应用层拒绝服务攻击有CC（Challenge Collapasar）攻击、Slowloris攻击、Server Limit DOS等。下面就这几种常见的攻击进行简单介绍：

·CC攻击：对一些资源消耗（查询数据库、读写硬盘文件等）较大的应用页面不断发起正常的请求，以达到消耗服务资源的目的。

· Slowloris攻击：以极低的速度向服务器发送HTTP请求。由于Web Server对于并发的连接数都有一定的上限，因此若恶意地占用这些连接不释放，那么Web

Server的所有连接都将被恶意连接占用，从而无法接受新的请求，导致拒绝服务。

· Server Limit DoS：在发送HTTP POST包时，指定一个非常大的Content-

Length值，然后以很低的速度发包，这样当客户端连接数过多以后，占用了Web Server的所有可用连接，从而导致DoS。

本节以Slowloris攻击为例进行详细介绍。Slowloris是在2009年由著名Web安全专家RSnake提出的一种攻击方法，其原理是通过恶意占用有效连接，从而导致无法接受新的请求，达到目标服务器拒绝服务的效果。

HTTP协议，HTTP Request以“\r\n\r\n” 结尾表示客户端发送结束，服务器端开始处理。那么，如果永远不发送“\r\n\r\n”会如何？Slowloris就是利用这一点来做 DDoS攻击。攻击者在HTTP请求头中将Connection设置为Keep-Alive ，要求Web

Server保持TCP连接不断开，随后缓慢地每隔几分钟发送一个key-value格式的数据包到服务器端，例如a ：b\r\n ，导致服务器端认为HTTP头部没有接收完成而一直等待。如果攻击者使用多线程或者僵尸主机来做同样的操作，服务器的Web容器很快就被攻击者占满了TCP连接而不再接受新的请求。不过，Apache官方否认

Slowloris 的攻击方式是一个漏洞，他们认为这是Web Server的一种特性，通过调整参数能够缓解此类问题，这使得Slowloris攻击今天仍然很有效。

Slowloris有现成的工具脚本，通过pip安装以后就能直接使用。但要在

Windows系统下使用slowloris命令时，注意要切换到当前Python环境的Scripts目录，要么将该目录加入环境变量。在Linux系统则可直接使用。

安装之后可以直接输入slowloris-h命令查看帮助信息，效果如下所示：