T5000检测到目标主机可能存在缓慢的HTTP拒绝服务攻击

根据cve编号在知了和版本说明书看下有无对应漏洞，没有的话请打400咨询。

您好，请知：

一般都是升级软件版本到最新。

然后可以使用安全策略拦截相应的高危端口，同时可以关闭不必要的功能。

另外可以限制登录T5000的IP地址。

慢速攻击原理

关于慢速攻击原理，有个比喻非常的形象，可以把被攻击的WEB服务器看作一个咖啡厅，通常用餐的步骤是：点单、付款、用餐，而攻击者就像是这个咖啡厅竞争对手，他雇佣了许多看似正常的客人进来用餐，结果就会发生了许多不正常的情况。

Slowloris Header攻击就像那种点餐犹豫不决的人，不停的说又一直说不清自己要点什么菜，Slowloris Body攻击就好比顾客结账，但却是从口袋一个一个摸硬币出来付款，Slowloris Read攻击就像吃完饭不离开一直霸占座位的客人，导致新的顾客无法进来就餐。

上面三种类型的顾客，其实共性就一个字：慢！如果咖啡厅想正常营业，就只能通过阻止这些捣乱的顾客，清理这些点餐慢、付款慢的顾客，限定用餐时长。

回到慢速攻击的真实场景，上面说到餐厅需要限制用餐时长，那我们就需要限制HTTP请求和响应时长，关于防护策略可以从安全设备层面和中间件层面考虑。

安全设备层面

某些安全厂商的WEB应用防火墙或是抗拒绝设备，对慢速攻击可以进行有效防护，防护策略包括但不仅限于：

（1）连续多个HTTP POST报文的总长度“Content-Length”都很大，但是其HTTP载荷长度都很小，触发设定阈值后，安全设备认为请求异常，将攻击端加入IP黑名单或是拦截请求。

（2）连续多个HTTP GET 报文的报文头都没有结束标识，触发设定阈值后，安全设备认为请求异常，将攻击端加入IP黑名单或是拦截请求。

（3）HTTP慢速攻击基本上是通过自动化工具实现攻击，抗拒绝设备可以在收到HTTP慢速请求时，返回JS脚本给攻击端，由于攻击端无法像浏览器完成验证，认为请求异常，将攻击端加入IP黑名单或是拦截请求。

中间件层面

设置WEB服务器的HTTP头部传输时间限制，比如Apache2.2.15版本之后，通过mod_reqtimeout模块配置HTTP头部超时时间，如果在超时时间内没有完成传输，将断开连接，对于NGINX可以在配置文件中设置client_body_timeout和client_header_timeout超时时间来防护慢速攻击，其他中间件同样有类似的防护参数，其防护的思想基本相同。