Slowloris & R.U.D.Y.: 检测和阻止低速应用层DDoS攻击

引言：重新定义的隐秘威胁

虽然传统的分布式拒绝服务（DDoS）攻击通过大量流量压垮服务器，但低速慢应用层DDoS攻击已成为一种更隐蔽的威胁。这些攻击以最小的资源消耗瘫痪目标，Slowloris和R.U.D.Y.（R-U-Dead-Yet?）是其中两种主要武器。根据Cloudflare 2022年的报告，超过35%的应用层攻击现在采用这些技术，平均检测延迟为72分钟。本文将剖析它们的机制，并提供可操作的检测和缓解策略。

低速慢攻击的解剖

Slowloris：连接耗尽的艺术

Slowloris由安全研究人员RSnake于2009年创建，旨在利用传统Web服务器（如Apache）中的并发连接处理缺陷。它的优雅之处在于只需一台普通计算机即可使目标瘫痪。在被黑客组织匿名者武器化后，它声名鹊起，导致政府网站崩溃。

• 攻击工作流程：

1. 建立多个HTTP连接，发送不完整的头部（例如，缺少\r\n\r\n）。
2. 定期发送垃圾字节（例如，X-a: b\r\n）以保持连接存活。
3. 单个线程可以占用200-400个并发连接。

• 影响公式：

服务崩溃阈值 = 服务器最大连接数 / (攻击线程 × 每线程连接数)  

示例：Nginx的默认10000连接限制仅需25个攻击线程便可突破。

R.U.D.Y.：污染POST请求

这个名字嘲弄受害者“你死了吗？”——暗示其破坏力。首次观察到于2014年，R.U.D.Y.利用服务器对未完成POST请求的无限保留，实现了以低至1 Kbps的带宽消耗进行持续资源占用。它的首次亮相导致了大型电子商务平台的长期停机。

攻击工作流程：

1. ​目标侦察
   R.U.D.Y.首先扫描目标网站，以列出所有易受恶意提交影响的Web表单，包括联系表单、搜索框和评论区。
2. ​构造的POST请求
   攻击者发送有效的POST请求，使用巨大的Content-Length头（例如，10GB），欺骗服务器预留资源以等待数据。
3. ​低速慢数据滴
   R.U.D.Y.以每次一个字节的速度传输负载，每个字节之间有10秒的延迟。这以低至0.1 Bps的速度保持连接。
4. ​连接持久性
   每当服务器尝试终止非活动连接（通常在60-300秒后），R.U.D.Y.会重新发起请求以填充连接表。

影响放大：

服务器线程/进程无期限地挂起，等待数据完成。通过精确的时机控制，​单个攻击者可以占用超过10,000个连接而不会触发流量警报。攻击最终导致服务器工作池完全耗尽，通常在15-30分钟内崩溃应用程序。

如何检测慢DDoS攻击

当您的网站突然变慢甚至崩溃时，传统防火墙可能无法响应——因为这些攻击伪装成正常访客！这就是慢DDoS攻击（如Slowloris和R.U.D.Y.）的狡猾本质。

3步自检：您的网站是否遭到攻击？

1. 观察用户操作时间

• 正常：提交表单需要3秒
• 遭受攻击：相同操作需要超过3分钟

2. 检查服务器连接数量

• 登录到您的服务器控制面板（如cPanel）
• 检查“活动连接”是否突然激增
• 正常的小型到中型网站：通常<500个连接
• 遭受攻击：可能超过5000+个连接

3. 比较流量模式

• 使用免费工具（如Google Analytics）
• 将攻击期间与正常期间进行比较：
  • 页面加载时间（300%+的增加是红旗）
  • 用户停留时间（异常长的时间可能表明攻击）

阻止慢攻击的3种简单方法

1. 启用连接限制

就像餐馆限制每桌的就餐时间一样，为您的服务器设置限制：

# 简单配置示例（适合非技术用户）
limit_conn per_ip 50;  # 每个IP最多50个连接
client_header_timeout 10s; # 如果10秒内没有发送数据则断开连接

2. 设置自动警报

使用免费的工具，如UptimeRobot，来：

• 每分钟监控网站速度
• 如果响应超过3秒，立即收到短信/电子邮件警报

3. 紧急响应计划

如果已经遭到攻击：

• 启用CAPTCHA挑战（5分钟内完成Cloudflare设置）
• 阻止可疑IP范围（检查日志以获取高频率IP）
• 请求托管提供商进行流量清洗

最佳选择：EdgeOne DDoS保护

Tencent EdgeOne提供针对L3/L4体积攻击和复杂L7应用层威胁的多层防御，默认启用预配置保护策略。其实时流量监测和AI驱动的清洗引擎在50毫秒内实现99.99%的攻击流量过滤准确率。

专业防御：CC攻击缓解系统

作为应用层DDoS的一种变体，挑战崩溃（CC）攻击（HTTP/HTTPS洪水）旨在通过恶意请求风暴耗尽服务器资源。EdgeOne部署了三层防御机制：

1.  ​自适应频率控制

• 通过基线学习动态识别异常IP，并对每个IP施加请求速率限制。
• 防御场景：高频并发请求（例如，500+ API调用/秒）。
• 典型用例：阻止电商抢购活动中的机器人驱动的座位抢夺攻击。

2. ​慢攻击保护

• 使用会话速率建模阻止传输速率<1 KB/s的连接。
• 精准检测：识别R.U.D.Y.的标志性1字节/10秒滴水攻击。
• 阈值：自动阻止传输速率低于基线70%的会话。

3. 智能客户端过滤（默认启用）

• ​实时JS挑战：通过浏览器执行验证客户端合法性。
• ​头部分析：检测25+个头部的异常（例如，异常的Accept-Language分布）。
• ​IP信誉数据库：标记来自代理/VPN和已知恶意IP的流量。
• 行动：对高风险会话触发CAPTCHA（误报率<0.1%）。
   

结论

低速慢DDoS攻击如Slowloris和R.U.D.Y.是隐秘的威胁，通过模拟合法流量绕过传统防御。与暴力体积攻击不同，它们悄然耗尽服务器资源，往往在几个小时内未被发现。关键要点：

1. 检测需要行为洞察

• 监控连接持续时间、不完整请求和异常低的数据速率。
• 使用Google Analytics和UptimeRobot等免费工具可以揭示早期警告信号。

2. 缓解需要分层防御

• 服务器强化：实施连接限制（例如，limit_conn在Nginx中）。
• 反向代理：在流量到达源服务器之前过滤攻击。
• AI驱动的解决方案：如Tencent EdgeOne使用行为分析和实时流量清洗来中和威胁。

常见问题

Q1：升级到昂贵的服务器会停止攻击吗？

A1：攻击者可以以仅$1的成本破坏价值$10,000的服务器。

Q2：只有大网站才会受到攻击吗？

A2：不是。2024年第四季度，市场与广告行业（第三大受攻击行业）和小型服务的赎金攻击（12%的受害者）证明攻击者针对的是脆弱性，而不仅仅是规模。（来源： Cloudflare 2024年第四季度报告).

Q3：WordPress网站更容易受到攻击吗？
A3：并不是，但43%的被攻击的CMS网站运行WordPress（来源：Sucuri）。像Wordfence这样的插件可以提供基本保护。

Q4：慢攻击会窃取数据吗？
A4：不会。它们的目标是崩溃您的网站，而不是窃取信息。但它们经常分散注意力，从而导致真正的数据泄露！

Q5：慢攻击通常持续多久？

A5：短期：1-6小时（小型网站常见）。延长：数天/周（针对企业）

Q6：VPN能保护我的网站吗？
A6：不能。VPN保护您的浏览，而不是您的服务器。请使用WAF（Web应用防火墙）代替。