一、攻击情况介绍
最近HTTP上的DOS（Deny Of Service:拒绝服务攻击）攻击方式被提出来（http://isc.sans.org/diary.html?storyid=6601）。虽然这 种攻击不算新颖，据说以前也被提出过（http: //www.securityfocus.com/archive/1/456339/30/0/threaded），但是没有得到重视。

这种针对HTTP服务器的攻击很简单，就是不断发送没有完成的HTTP头，直到你的服务器耗尽所有的资源。攻击的方式如下：
1、首先向服务器发出如下HTTP头部：
GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n
Content-Length: 42\r\n
2、然后每隔一定时间继续发出一个自定义的头部：
X-a: b\r\n

须知根据HTTP协议，HTTP请求头部与请求主体的分隔是多一个\r\n。也就是说上述的HTTP头部一直没有发送完成，HTTP服务器会等在那里准备接受余下的内容，一直到接受超时，然后关闭连接。默认的apache读取头部的超时据说是3000秒。

Apache的情况是，每接受一个连接新开一个进程或线程，这样新接受一个连接的资源消耗很大，我测试的过结果是，一般apache只需在超时时间内，持续发送500个以上的包，apache就不会再接收新的连接了。

二、攻击工具介绍及结果