慢速攻击可以让没有防护的服务器或者网络设备瘫痪 能说不算漏洞?
我就总结一下自己是怎么复现的吧
首先可以使用扫描器来扫出这个漏洞
但是你写报告里面别人肯定是不能信服的啊 我们就来用工具来验证一下吧
第一种方法就是使用kali自带的slowhttptest试试
安装我就不多说了 网上都有
我们来看看怎么使用
在终端使用命令
slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u 目标地址(url或者是ip) -x 24 -p 3
我们看到里面service available字段里面是No
就是我们慢慢持续的发送包经过125秒之后就到达不了服务器了 也就是服务器就已经停止服务了。
此时我们去访问页面发现页面已经崩了
其实验证到这里就可以写报告了 但是今天遇到的这个客户非要我给他的网站用脚本打一下DOS ....
打打也无妨 反正是授权的
我们使用脚本去打
脚本这个我就不贴了 太多了 想要的可以给我评论或者私信
我就来演示一下怎么打的
torshammer.py -t 目标地址(可以是主机或者域名,但是域名需要去掉http /) -r 1000
看一下网站的网络的网络延时 是不是跟我们预想的一样还是直接就给网站打崩了
大家记住-r 参数 最多加到2000 就不要加了