拍拍尘土

p.s. iis6默认在metabase.xml中没用设置一些属性，如HeaderWaitTimeout，自己增加好像也无效，不知道怎么回事！！
而 ConnectionTimeout, HeaderWaitTimeout, MaxGlobalBandwidth 是应对ddos需要设置的，所以我们来看下iis6还能设置哪些属性。

IIsWebServiceSetting (WMI)

This class corresponds to the IIsWebService IIS Admin object, and contains the read-write properties for the object.

Methods

This object has no methods.
Properties

The IIsWebServiceSetting ...

阅读全文…

p.s. 关于其中的参数设置数值部分争议比较大，如果真正遭遇到攻击，那么超时数值自然是小一点比较稳妥，比如连接超时设20左右。
为保证服务器稳定运行，具体修改配置需要每操作一步就测试一次是否运行正常。比如修改头信息Content-type，在没有预设谓词情况下拒绝其他谓词，都会造成网站无法服务。总之仅供参考，需要根据实际需求来综合解决ddos问题。

Slow HTTP Denial of Service Attack 中文叫作缓慢的HTTP攻击漏洞,网上多数是tomcat的修复方法，然而实际上会碰到iis nginx apache等web服务器的这个问题，于是就有了这个修复集合。

漏洞描述：
利用的HTTP POST：POST的时候，指定一个非常大的content-length，然后以很低的速度发包，比如10-100s发一个字节，ho...

阅读全文…

解决办法： http://blog.xg98.com/article.asp?id=2703


0x01、 安装
下载链接
https://github.com/shekyan/slowhttptest

安装介绍
https://github.com/shekyan/slowhttptest/wiki/InstallationAndUsage

KALI

0x02、攻击模式
服务器在接收到请求时，完全接收以后才会处理请求，如果攻击者发送的比较缓慢或者发送的不完整...

阅读全文…