搜索
查看: 560|回复: 2

http post DOS 漏洞原理和利用方法

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2013-12-27 08:00:35 来自手机 | 显示全部楼层 |阅读模式
概述
http-post-dos攻击是一个影响很大的拒绝攻击漏洞

漏洞形成原因
在发送HTTP POST包时,指定一个非常大的Content-Length值,然后以很低的速度发包,比如10~100s发一个字节,保持住这个连接不断开。这样当客户端连接数多了以后,占用住了Web Server的所有可用连接,从而导致了拒绝服务攻击。

漏洞利用原理
首先构造一个大Content-Length值的完整请求:
"POST / HTTP/1.1
"Host: host
"Connection: keep-alive
"Keep-Alive: 900
"Content-Length: 100000000
"Content-Type: application/x-www-form-urlencoded
"Accept: *.*
"User-Agent: Mozilla/4.0 (compatible; MSIE 11.0; Windows NT 9.5;Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152;.NET CLR 3.5.30729; MSOffice 12)
由于HTTP Requst Header中有设置Keep-Alive,且请求的Method为POST,故服务器在收到该请求后,会等待客户端发送POST数据,此时客户端再以很低的速度向服务器发送数据。当构造多个连接后,服务器的连接数很快就会达到上限。
附上攻击工具一枚
链接:
游客,如果您要查看本帖隐藏内容请回复
854955425 该用户已被删除
发表于 2013-12-27 08:19:42 | 显示全部楼层
学习了,谢谢分享、、、
专业回帖 该用户已被删除
发表于 2013-12-27 09:15:53 | 显示全部楼层
学习了,不错,讲的太有道理了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表