ps:本程序僅做為技術研究之用,請勿用于非法用途,否則,后果自負!
最近買了個空間來玩,各位勿笑,是入門級的虛擬主機(偶是窮人啊),各種參數都相當低,特別是IIS連接數,只有100個(也就是同時支持100個不同的訪問)。
這里就出現問題了。如果我一直對該網站進行連接,雖然我是同一個人,但是IIS卻傻乎乎的把每次連接當成不同的人,每連接一次就會分配一個session給我,當連接超過服務器設置的IIS最大連接數目的時候……呵呵,拒絕服務就發生了。
具體的攻擊嘛,我們當然是利用程序來完成。思路簡單,就是不斷的向網站發HTTP請求,直到超過它的最大連接數。正好機器上有以前看了shotgun的《HTTP協議Content Lenth限制漏洞導致拒絕服務攻擊》寫的測試程序,跟今天的要求很相似,就拿來改改咯。具體代碼如下:
既然如此,那索性試試IIS連接數為無限的情況。程序中的連接參數我填的8000,結果運行途中我的系統沒有了緩沖區間,winsock產生10055號錯誤,程序中止。呵呵,看來這種方法還是只能針對使用虛擬空間的中小網站。
好,偶們來實際使用一下。打開郵箱,隨便找封廣告垃圾郵件,訪問那家伙的網站,然后開始攻擊它,對付這種小站連接數就設成300就綽綽有余了。呵呵,很快那網站就不工作了(圖),嘿嘿,這可怪不得我,誰叫他發垃圾郵件在前。好了,測試完畢,通過驗收,就不跟他玩了。
