Slowloris & R.U.D.Y.: 检测和阻止低速应用层DDoS攻击

EdgeOne-Product Team
5 分钟阅读
May 29, 2025
计算机键盘的3D渲染,带有DDoS攻击键 黑色键盘上的DDoS攻击按钮 计算机键盘上DDoS攻击键的特写

引言:重新定义的隐秘威胁

虽然传统的分布式拒绝服务(DDoS)攻击通过大量流量压垮服务器,但低速慢应用层DDoS攻击已成为一种更隐蔽的威胁。这些攻击以最小的资源消耗瘫痪目标,Slowloris和R.U.D.Y.(R-U-Dead-Yet?)是其中两种主要武器。根据Cloudflare 2022年的报告,超过35%的应用层攻击现在采用这些技术,平均检测延迟为72分钟。本文将剖析它们的机制,并提供可操作的检测和缓解策略。

低速慢攻击的解剖

Slowloris:连接耗尽的艺术

Slowloris由安全研究人员RSnake于2009年创建,旨在利用传统Web服务器(如Apache)中的并发连接处理缺陷。它的优雅之处在于只需一台普通计算机即可使目标瘫痪。在被黑客组织匿名者武器化后,它声名鹊起,导致政府网站崩溃。

  • 攻击工作流程:
  1. 建立多个HTTP连接,发送不完整的头部(例如,缺少\r\n\r\n)。
  2. 定期发送垃圾字节(例如,X-a: b\r\n)以保持连接存活。
  3. 单个线程可以占用200-400个并发连接。
  • 影响公式:
服务崩溃阈值 = 服务器最大连接数 / (攻击线程 × 每线程连接数)

示例:Nginx的默认10000连接限制仅需25个攻击线程便可突破。

R.U.D.Y.:污染POST请求

这个名字嘲弄受害者“你死了吗?”——暗示其破坏力。首次观察到于2014年,R.U.D.Y.利用服务器对未完成POST请求的无限保留,实现了以低至1 Kbps的带宽消耗进行持续资源占用。它的首次亮相导致了大型电子商务平台的长期停机。

攻击工作流程:

  1. 目标侦察
    R.U.D.Y.首先扫描目标网站,以列出所有易受恶意提交影响的Web表单,包括联系表单、搜索框和评论区。
  2. 构造的POST请求
    攻击者发送有效的POST请求,使用巨大的Content-Length头(例如,10GB),欺骗服务器预留资源以等待数据。
  3. 低速慢数据滴
    R.U.D.Y.以每次一个字节的速度传输负载,每个字节之间有10秒的延迟。这以低至0.1 Bps的速度保持连接。
  4. 连接持久性
    每当服务器尝试终止非活动连接(通常在60-300秒后),R.U.D.Y.会重新发起请求以填充连接表。

影响放大:

服务器线程/进程无期限地挂起,等待数据完成。通过精确的时机控制,​单个攻击者可以占用超过10,000个连接而不会触发流量警报。攻击最终导致服务器工作池完全耗尽,通常在15-30分钟内崩溃应用程序。

如何检测慢DDoS攻击

当您的网站突然变慢甚至崩溃时,传统防火墙可能无法响应——因为这些攻击伪装成正常访客!这就是慢DDoS攻击(如Slowloris和R.U.D.Y.)的狡猾本质。

3步自检:您的网站是否遭到攻击?

1. 观察用户操作时间

  • 正常:提交表单需要3秒
  • 遭受攻击:相同操作需要超过3分钟

2. 检查服务器连接数量

  • 登录到您的服务器控制面板(如cPanel)
  • 检查“活动连接”是否突然激增
  • 正常的小型到中型网站:通常<500个连接
  • 遭受攻击:可能超过5000+个连接

3. 比较流量模式

  • 使用免费工具(如Google Analytics
  • 将攻击期间与正常期间进行比较:
    • 页面加载时间(300%+的增加是红旗)
    • 用户停留时间(异常长的时间可能表明攻击)

阻止慢攻击的3种简单方法

1. 启用连接限制

就像餐馆限制每桌的就餐时间一样,为您的服务器设置限制:

# 简单配置示例(适合非技术用户)
limit_conn per_ip 50;  # 每个IP最多50个连接
client_header_timeout 10s; # 如果10秒内没有发送数据则断开连接

2. 设置自动警报

使用免费的工具,如UptimeRobot,来:

  • 每分钟监控网站速度
  • 如果响应超过3秒,立即收到短信/电子邮件警报

3. 紧急响应计划

如果已经遭到攻击:

  • 启用CAPTCHA挑战(5分钟内完成Cloudflare设置)
  • 阻止可疑IP范围(检查日志以获取高频率IP)
  • 请求托管提供商进行流量清洗

最佳选择:EdgeOne DDoS保护

Tencent EdgeOne提供针对L3/L4体积攻击和复杂L7应用层威胁的多层防御,默认启用预配置保护策略。其实时流量监测和AI驱动的清洗引擎在50毫秒内实现99.99%的攻击流量过滤准确率

专业防御:CC攻击缓解系统

作为应用层DDoS的一种变体,挑战崩溃(CC)攻击(HTTP/HTTPS洪水)旨在通过恶意请求风暴耗尽服务器资源。EdgeOne部署了三层防御机制:

1.  ​自适应频率控制

  • 通过基线学习动态识别异常IP,并对每个IP施加请求速率限制。
  • 防御场景:高频并发请求(例如,500+ API调用/秒)。
  • 典型用例:阻止电商抢购活动中的机器人驱动的座位抢夺攻击。

2. ​慢攻击保护

  • 使用会话速率建模阻止传输速率<1 KB/s的连接。
  • 精准检测:识别R.U.D.Y.的标志性1字节/10秒滴水攻击。
  • 阈值:自动阻止传输速率低于基线70%的会话。

3. 智能客户端过滤(默认启用)

  • 实时JS挑战:通过浏览器执行验证客户端合法性。
  • ​头部分析:检测25+个头部的异常(例如,异常的Accept-Language分布)。
  • ​IP信誉数据库:标记来自代理/VPN和已知恶意IP的流量。
  • 行动:对高风险会话触发CAPTCHA(误报率<0.1%)。
     

结论

低速慢DDoS攻击如SlowlorisR.U.D.Y.是隐秘的威胁,通过模拟合法流量绕过传统防御。与暴力体积攻击不同,它们悄然耗尽服务器资源,往往在几个小时内未被发现。关键要点:

1. 检测需要行为洞察

  • 监控连接持续时间不完整请求异常低的数据速率
  • 使用Google Analytics和UptimeRobot等免费工具可以揭示早期警告信号。

2. 缓解需要分层防御

  • 服务器强化:实施连接限制(例如,limit_conn在Nginx中)。
  • 反向代理:在流量到达源服务器之前过滤攻击。
  • AI驱动的解决方案:如Tencent EdgeOne使用行为分析和实时流量清洗来中和威胁。

常见问题

Q1:升级到昂贵的服务器会停止攻击吗?

A1:攻击者可以以仅$1的成本破坏价值$10,000的服务器。

Q2:只有大网站才会受到攻击吗?

A2:不是。2024年第四季度,市场与广告行业(第三大受攻击行业)和小型服务的赎金攻击(12%的受害者)证明攻击者针对的是脆弱性,而不仅仅是规模。(来源: Cloudflare 2024年第四季度报告).

Q3:WordPress网站更容易受到攻击吗?
A3:并不是,但43%的被攻击的CMS网站运行WordPress(来源:Sucuri)。像Wordfence这样的插件可以提供基本保护。

Q4:慢攻击会窃取数据吗?
A4:不会。它们的目标是崩溃您的网站,而不是窃取信息。但它们经常分散注意力,从而导致真正的数据泄露!

Q5:慢攻击通常持续多久?

A5:短期:1-6小时(小型网站常见)。延长:数天/周(针对企业)

Q6:VPN能保护我的网站吗?
A6:不能。VPN保护您的浏览,而不是您的服务器。请使用WAF(Web应用防火墙)代替。