Ostatnio uwagę zwrócił skrypt „slowloris”. Podstawową koncepcją tego, co robi slowloris, nie jest nowy atak, ale biorąc pod uwagę ostatnią uwagę, zauważyłem niewielki wzrost liczby ataków na niektóre nasze strony internetowe Apache.
W tej chwili wydaje się, że nie ma 100% obrony przed tym.
Najlepszym rozwiązaniem, które ustaliliśmy (do tej pory), jest zwiększenie liczby klientów MaxClients.
To oczywiście nie tylko zwiększa wymagania dotyczące komputera atakującego i w rzeczywistości nie chroni serwera w 100%.
Jeden inny raport wskazuje, że użycie odwrotnego proxy (takiego jak Perlbal) przed serwerem Apache może pomóc w zapobieganiu atakowi.
Używanie mod_evasive w celu ograniczenia liczby połączeń z jednego hosta i używanie mod_security do odrzucania żądań, które wyglądają tak, jakby były wysyłane przez slowlori, wydają się być najlepszą jak dotąd obroną.
Czy ktoś na ServerFault ma takie ataki? Jeśli tak, jakie środki wdrożyłeś w celu obrony / zapobiegania?
UWAGA: To pytanie dotyczy serwerów Apache, ponieważ rozumiem, że nie dotyczy to serwerów Windows IIS.
mod_antiloris , takie proste.
źródło
Jeśli wszystkie twoje moduły Apache są bezpieczne dla wątków, slowlori można pokonać po prostu przełączając się na MPM zdarzeń lub procesów roboczych. ref: tutaj
źródło
W tej chwili wydaje się, że nie ma nic więcej do roboty, ograniczając maksymalną liczbę równoczesnych połączeń na ip na serwerze.
źródło
Istnieje łatka użytkownika, którą możesz wypróbować. Zmienia limit czasu na podstawie obciążenia serwera, ale biorąc pod uwagę jego status, możesz nie chcieć używać go na komputerze produkcyjnym, bez poważnych testów. Spójrz tutaj.
źródło
Firewall oparty na iptable powinien chronić cię przed wieloma połączeniami z 1 ip.
źródło
Jeśli to pomoże komukolwiek innemu, możesz czasem rozwiązać ten problem za pomocą Apache 2.2.15 lub nowszego, stosując następującą konfigurację:
Więcej informacji tutaj: https://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html
źródło