Ich dachte, mein Server sei mit http-guardian sicher, aber anscheinend nicht. Ein kluger Arsch trifft meinen Server immer wieder mit 'Keep-Dead' und verursacht einen Absturz.
Ich habe die Protokolle durchgesehen, kann aber trotzdem keine Anfragen erkennen, abgesehen von einem normalen Besucher, dessen Browser schnell alle Komponenten auf einer ausgelasteten Seite lädt.
Jeder Rat wäre dankbar.
security
ddos
denial-of-service
Tom O'Connor
quelle
quelle
Antworten:
Deaktivieren Sie HTTP Keep-Alive oder installieren Sie einen Server, der davon nicht betroffen ist, als Proxy vor Apache. Nginx wäre hier eine gute Wahl.
Dieser Angriff scheint dem Slowloris-Angriff insofern ähnlich zu sein, als er eine bestimmte Funktion von Apache ausnutzt. Es ist ziemlich trivial, sich dagegen zu verteidigen.
Hinweis: Wenn Sie nginx installieren, deaktivieren Sie Keep-Alive für Apache und lassen Sie es für Nginx aktiviert.
quelle
Keep-Dead sendet HEAD-Anforderungen, während die TCP-Verbindung am Leben bleibt (Keep-Alive, daher der Name des Skripts). Dies unterscheidet sich wahrscheinlich deutlich von legitimen Anfragen an Ihren Webserver, bei denen es sich wahrscheinlich hauptsächlich um POST / GET handelt. Bitten Sie Ihr IDS / IPS, innerhalb kurzer Zeit zahlreiche HEAD-Anfragen zu erkennen und die entsprechenden Maßnahmen zu ergreifen.
quelle