Nmap NSE Category vulns Script：http-slowloris-check Slowloris DoS 攻擊漏洞測試

• 指令類型：portrule

• 類別：vuln, safe

• 下載：https://svn.nmap.org/nmap/scripts/http-slowloris-check.nse

Nmap Script指令摘要

Slowloris DoS 攻擊漏洞測試是用於測試網頁伺服器是否容易受到 Slowloris 分散式拒絕服務（DoS）攻擊的漏洞，而無需實際發動 DoS 攻擊。

Slowloris 攻擊方法由 RSnake 在 Defcon 17 中提出，詳細資訊可參考 http://ha.ckers.org/slowloris/

當指令打開兩個連接通道到伺服器時，這兩個通道都不包含最終的 CRLF（「\r」回車和「\n」換行符號），第一個通道先開始，而第二個通道稍後才開始，當第一個通道與伺服器建立連接後，它不發送完整的 HTTP 請求，只發送了部分表頭訊息，然後等待伺服器的回應。

接著，第二個通道開始，同樣地，它也只發送了部分表頭訊息，然後等待伺服器的回應；但在第一個通道開始後的 10 秒內，第二個通道發送了額外的表頭訊息。

如果伺服器在第一個通道與之建立連接後的 10 秒內未超時，但在第二個通道發送額外表頭訊息後超時，這表明第二個通道的行為導致了伺服器的超時延長 (timeout-extension)，即發送額外的表頭訊息延長了伺服器等待回應的時間。

這個情況表明伺服器可能容易受到 Slowloris DoS 攻擊，因為攻擊者可以透過持續不斷地發送部分表頭訊息，就可以使伺服器的連接資源被逐漸耗盡，最終導致伺服器無法處理其他合法的請求，從而實現拒絕服務攻擊。

“LIKELY VULNERABLE”（可能易受攻擊）的結果表示伺服器容易受到超時延長 (timeout-extension) 攻擊，但根據 http 伺服器的架構和資源限制，並不總是引發完整的拒絕服務；完整的測試需要觸發實際的 DoS 條件並評估伺服器的反應性。

您可以使用 http.useragent 指令參數指定自定義的 http 用戶代理字元欄位。

這個指令的靈感來自 Qualys 的部落格文章，詳細訊息可參考：

https://community.qualys.com/blogs/securitylabs/2011/07/07/identifying-slow-http-attack-vulnerabilities-on-web-applications

另請參考：http-slowloris.nse

Nmap Script指令參數

slaxml.debug

請參閱 slaxml 函式庫

http.host, http.max-body-size, http.max-cache-size, http.max-pipeline, http.pipeline, http.truncated-ok, http.useragent

這些參數包括設定主機名稱、設定最大請求主體大小、設定最大暫存大小、啟用通道請求等等，以幫助開發人員正確設定這些參數以實現所需的網路行為；請參閱 http 函式庫。

smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername

這些是與 SMB（Server Message Block）身份驗證相關的參數或選項，通常用於設定與 SMB 伺服器的通訊，這些參數包括設定 SMB 網域、SMB 帳號密碼、SMB 使用者名稱等，該函式庫幫助開發人員正確設定這些參數，以實現對 SMB 伺服器的有效通訊和身份驗證，請參閱 smbauth 函式庫。

vulns.short, vulns.showall

這些是與漏洞（vulnerabilities）相關的參數或選項，通常用於設定漏洞掃描或漏洞管理的相關行為；建議查閱 vulns 函式庫了解這些參數的具體含義以及如何在程式碼中使用它們；vulns.short 用於設定漏洞報告的簡要顯示模式，而 vulns.showall 用於設定是否顯示所有漏洞的選項。

Nmap Script指令範例

nmap --script http-slowloris-check  <target>

Nmap Script指令輸出

PORT   STATE SERVICE REASON

80/tcp open  http    syn-ack

| http-slowloris-check:

|   VULNERABLE:

|   Slowloris DOS attack

|     State: LIKELY VULNERABLE

|     IDs:  CVE:CVE-2007-6750

|       Slowloris tries to keep many connections to the target web server open and hold

|       them open as long as possible.  It accomplishes this by opening connections to

|       the target web server and sending a partial request. By doing so, it starves

|       the http server's resources causing Denial Of Service.

|

|     Disclosure date: 2009-09-17

|     References:

|       http://ha.ckers.org/slowloris/

|_      http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-6750

Nmap Script作者:

Aleksandar Nikolic

License: Same as Nmap--See https://nmap.org/book/man-legal.html

延伸閱讀

• 網路概念

• 技術文章

• 經驗分享

• 軟體介紹

• Nmap