死亡之子 (R.U.D.Y.) 攻击
死亡之子 (R.U.D.Y.) 攻击
R.U.D.Y. 是一种低速缓慢攻击工具,它模仿正常流量,可以无限期地阻塞服务器。
什么是 R.U.D.Y. 攻击?
“死神之子”又称 R.U.D.Y.,是一种拒绝服务攻击工具,旨在通过以惊人的缓慢速度提交表单数据来使 Web 服务器保持捆绑状态。R.U.D.Y. 漏洞利用属于低速缓慢攻击,因为它着重于创建少量持续请求、而不是通过大量快速请求使服务器不堪重负。成功的 R.U.D.Y. 攻击将导致受害者的源服务器无法用于正常流量。
R.U.D.Y. 软件包括一个用户友好的点击界面,因此攻击者只需将工具指向带有漏洞的目标即可。任何接受表单输入的 Web 服务都容易受到 R.U.D.Y. 攻击,因为该工具通过嗅探表单字段并利用表单提交过程来运转。
R.U.D.Y. 攻击的工作原理
R.U.D.Y. 攻击可分为以下步骤:
- R.U.D.Y. 工具对受害人的应用程序进行抓取以查找表单字段。
- 找到表单后,该工具将创建一个 HTTP POST 请求以模仿正常的表单提交。该 POST 请求包含一个标头*,警告服务器其将提交非常长的内容。
- 然后,该工具通过将表单数据分解为小至每个 1 字节的数据包,以 10 秒钟左右的随机间隔将这些数据包发送到服务器,从而拉长提交表单数据的过程。
- 工具持续无限期提交数据。Web 服务器将保持连接打开以接受数据包,因为攻击行为与连接速度较慢的用户提交表单数据的行为类似。在这个时候,Web 服务器处理正常流量的能力就会受损。
R.U.D.Y. 工具可以同时创建多个针对一个 Web 服务器的慢速请求。由于 Web 服务器一次能够处理的连接数量有限,因此 R.U.D.Y. 攻击有可能占用所有可用的连接,这意味着试图访问 Web 服务器的任何正常用户都将被拒绝服务。R.U.D.Y. 甚至可以通过计算机网络同时进行攻击,导致具有大量可用连接的强大 Web 服务器下线,这被称为分布式拒绝服务 (DDoS) 攻击。
HTTP 标头是随 HTTP 请求或响应一起发送的键/值对,它们提供重要信息,例如正在使用的 HTTP 版本、内容所用的语言、要传递的内容量等等。
如何阻止 R.U.D.Y. 攻击
因为慢速和低速攻击比传统的拒绝服务攻击要巧妙得多,因此很难检测到,但是可以采取保护措施来防止。一种预防措施是在 Web 服务器上设置更严格的连接超时间隔,也就是说最慢的连接将被切断。但该解决方案具有副作用:服务器可能对互联网连接速度较慢的合法用户拒绝服务。或者可以采用反向代理解决方案,如 Cloudflare 的 DDoS 防护,筛选 R.U.D.Y. 攻击等低速缓慢攻击流量,但不会使合法用户断开。