基于数据包检查的Slow HTTP POST攻击检测方法

Slow HTTP POST攻击属于应用层慢速HTTP拒绝服务攻击。在Slow HTTP POST攻击中,攻击者使用正常的POST请求进行数据的传输,但是其报文首部中的Content-Length参数值被设置为很大的值。然而,为了长时间占用建立起的请求连接,攻击者在请求首部得到确认之后开始进行的传输主体中,设置了极小的数据传输大小,导致Web服务器认为请求数据没有传输完毕,将长时间保留该请求连接,当服务器的连接资源池被类似的攻击请求占满,就会造成拒绝服务。文章根据正常HTTP POST请求发生后,数据以"尽力传输"的模式进行传输的特性与Slow HTTP POST攻击下数据传输的特性的区别,提出基于数据包大小检查的Slow HTTP POST攻击检测方法,并对检测方法进行了仿真实验加以验证。