携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第21天，点击查看活动详情

R.U.D.Y. （R-U-Dead-Yet？）

R.U.D.Y.（R-U-Dead-Yet？的缩写）以Finish旋律死亡金属乐队Children of Bodom的专辑命名，是一个DoS工具，用于执行慢速攻击（类似于Slowloris），通过长格式字段提交实现。

速度较慢的第7层DDoS攻击，也称为“低速和慢速”攻击，试图在一段时间内打开与目标服务器或网站的相对较少的连接，并使会话尽可能长时间地保持打开状态。

最终，打开会话的数量和长度会耗尽目标的资源，使其无法用于合法流量。由于低速和慢速攻击流量似乎是合法的，因此这些攻击通常在传统缓解工具的雷达下飞行。

R.U.D.Y.是一种流行的低速和慢速攻击工具，旨在通过提交长格式字段来使Web服务器崩溃。

该攻击通过DoS工具执行，该工具浏览目标网站并检测嵌入的Web表单。一旦表单被识别出来，R.U.D.Y.就会发送一个合法的HTTP POST请求，其中包含一个异常长的“content-length”标头字段，然后t开始向表单注入信息，一次一个字节大小的数据包。

摘自 R.U.D.Y. v2.2 脚本

信息不仅以小块的形式发送，而且以非常慢的速率发送，每个字节之间通常间隔约为10秒。不过，应该注意的是，R.U.D.Y.的某些变体将使用随机时间间隔，以防止检测。

通过以非常慢的速度发送大量小数据包，R.U.D.Y.会造成大量应用程序线程的积压，而较长的“Content-Length”字段会阻止服务器关闭连接。最终，攻击会耗尽目标服务器的连接表，从而导致服务器崩溃。

除了自动检测Web表单外，大多数R.U.D.Y.工具还允许攻击者选择应攻击哪些表单字段。最新版本的 R.U.D.Y. 工具还支持 SOCKS 代理和基于 Cookie 的会话持久性（如果可用）。

如果未被发现或未被缓解，Slowloris攻击也可以持续很长时间。当受攻击的套接字超时时，Slowloris 只需重新启动连接，继续使 Web 服务器达到最大，直到缓解。

与容量耗尽型 DDoS 攻击相比，像 R.U.D.Y. 这样的低速和慢速攻击相对难以检测，而容量耗尽型 DDoS 攻击由于传入流量的异常高波动而很明显。

检测R.U.D.Y.和其他低速和慢速攻击的一种方法是通过密切的服务器资源监控来要求。

例如，一些传统的缓解解决方案将跟踪服务器内存和 CPU 使用率、连接表、应用程序线程等，以识别资源滥用，包括长时间和空闲的开放网络连接或卡住的应用程序进程。

另一种缓解方法涉及对开放服务器连接的行为分析。这些解决方案尝试模拟应用程序堆栈资源要求，而无需直接连接到服务器本身。如果发现误用，可以对其进行跟踪和缓解。