srcmini本文概述
Slowloris毫无疑问是许多白/灰/黑帽子最喜欢的攻击方式之一, 因为它的简单性和有效性。让我们以图形方式快速说明攻击的外观:
与另一本教程有关如何测试服务器是否容易受到Slowloris攻击的脆弱性以及我们在其中解释这种攻击的工作原理不同, 本教程旨在成为一种真正的攻击, 这意味着不受某些条件限制的那些攻击之一。脚本, 则此攻击将永久运行(直到关闭运行该攻击的终端为止)。我们建议你在继续阅读本文之前先阅读第一篇文章。
在本文中, 我们将向你介绍如何在Kali Linux中运行真正的Slowloris攻击的Python版本。
1.克隆Slowloris脚本
Slowloris基本上是一种HTTP拒绝服务攻击, 会影响线程服务器。它是这样的:
- 我们开始发出许多HTTP请求。
- 我们会定期(每15秒发送一次)发送标头, 以保持连接打开。
- 除非服务器关闭连接, 否则我们永远不会关闭连接。如果服务器关闭连接, 我们将创建一个新连接, 继续执行相同的操作。
这将耗尽服务器的线程池, 并且服务器无法回复其他人。为了进行攻击, 我们需要使用slowloris的逻辑, 但是我们不会自己编写, 而是使用Github中开源库中的Python Slowloris实现。在终端的某个目录中使用以下命令克隆存储库:
git clone https://github.com/gkbrk/slowloris.git然后, 从目录切换到克隆的目录:
cd slowloris现在, 在此目录中, 我们将能够使用slowloris.py脚本运行攻击。有关Slowloris脚本的Python版本的更多信息, 请访问Github上的官方存储库。
2.进行攻击
你将需要在Kali Linux系统上安装Python3.x。默认情况下, 它已经安装在Kali Linux中, 因此我们只需要使用以下命令来运行slowloris.py脚本:
python3 slowloris.py [website url] -s [number of sockets]网站URL参数指定要攻击的网站, 例如https://mydomain.com。 -s或–sockets参数指定将从攻击主机同时运行的套接字数。替换值后, 该命令应类似于以下内容:
python3 slowloris.py https://mywebsite.com默认情况下, 该脚本使用150个套接字运行, 除非你指定了它, 例如改为使用300个套接字:
python3 slowloris.py https://mywebsite.com -s 300攻击的输出将为以下内容:
如前所述, 除非你停止攻击, 否则攻击将永远不会结束。请记住, 你只能对你财产的网站进行攻击, 否则你将面临严重的法律问题。
祝你考试愉快!
评论前必须登录!
注册