死亡之子 (R.U.D.Y.) 攻击

什么是 R.U.D.Y. 攻击？

“死神之子”又称 R.U.D.Y.，是一种拒绝服务攻击工具，旨在通过以惊人的缓慢速度提交表单数据来使 Web 服务器保持捆绑状态。R.U.D.Y. 漏洞利用属于低速缓慢攻击，因为它着重于创建少量持续请求、而不是通过大量快速请求使服务器不堪重负。成功的 R.U.D.Y. 攻击将导致受害者的源服务器无法用于正常流量。

R.U.D.Y. 软件包括一个用户友好的点击界面，因此攻击者只需将工具指向带有漏洞的目标即可。任何接受表单输入的 Web 服务都容易受到 R.U.D.Y. 攻击，因为该工具通过嗅探表单字段并利用表单提交过程来运转。

R.U.D.Y. 攻击的工作原理

R.U.D.Y. 攻击可分为以下步骤：

1. R.U.D.Y. 工具对受害人的应用程序进行抓取以查找表单字段。
2. 找到表单后，该工具将创建一个 HTTP POST 请求以模仿正常的表单提交。该 POST 请求包含一个标头*，警告服务器其将提交非常长的内容。
3. 然后，该工具通过将表单数据分解为小至每个 1 字节的数据包，以 10 秒钟左右的随机间隔将这些数据包发送到服务器，从而拉长提交表单数据的过程。
4. 工具持续无限期提交数据。Web 服务器将保持连接打开以接受数据包，因为攻击行为与连接速度较慢的用户提交表单数据的行为类似。在这个时候，Web 服务器处理正常流量的能力就会受损。

R.U.D.Y. 工具可以同时创建多个针对一个 Web 服务器的慢速请求。由于 Web 服务器一次能够处理的连接数量有限，因此 R.U.D.Y. 攻击有可能占用所有可用的连接，这意味着试图访问 Web 服务器的任何正常用户都将被拒绝服务。R.U.D.Y. 甚至可以通过计算机网络同时进行攻击，导致具有大量可用连接的强大 Web 服务器下线，这被称为分布式拒绝服务 (DDoS) 攻击。

*HTTP 标头是随 HTTP 请求或响应一起发送的键/值对，它们提供重要信息，例如正在使用的 HTTP 版本、内容所用的语言、要传递的内容量等等。

如何阻止 R.U.D.Y. 攻击

因为慢速和低速攻击比传统的拒绝服务攻击要巧妙得多，因此很难检测到，但是可以采取保护措施来防止。一种预防措施是在 Web 服务器上设置更严格的连接超时间隔，也就是说最慢的连接将被切断。但该解决方案具有副作用：服务器可能对互联网连接速度较慢的合法用户拒绝服务。或者可以采用反向代理解决方案，如 Cloudflare 的 DDoS 防护，筛选 R.U.D.Y. 攻击等低速缓慢攻击流量，但不会使合法用户断开。