Kürzlich hat ein Skript namens "slowloris" Beachtung gefunden. Das Grundkonzept von Slowloris ist kein neuer Angriff, aber angesichts der jüngsten Aufmerksamkeit habe ich einen leichten Anstieg der Angriffe auf einige unserer Apache-Websites festgestellt.
Im Moment scheint es keine 100% ige Verteidigung dagegen zu geben.
Die beste Lösung, die wir bisher gefunden haben, ist die Steigerung der MaxClients.
Dies erhöht natürlich nur die Anforderungen an den Computer des Angreifers und schützt den Server nicht zu 100%.
Einem anderen Bericht zufolge kann die Verwendung eines Reverse-Proxys (z. B. Perlbal) vor dem Apache-Server dazu beitragen, den Angriff zu verhindern.
Die Verwendung von mod_evasive, um die Anzahl der Verbindungen von einem Host zu begrenzen, und von mod_security, um Anforderungen abzulehnen, die so aussehen, als ob sie von slowloris ausgegeben wurden, scheinen die beste Verteidigung zu sein.
Hat jemand auf ServerFault solche Angriffe erlebt? Wenn ja, welche Maßnahmen haben Sie ergriffen, um dies zu verteidigen / zu verhindern?
HINWEIS: Diese Frage gilt für Apache-Server, da meines Erachtens Windows IIS-Server nicht betroffen sind.
mod_antiloris , so einfach ist das.
quelle
Wenn alle Apache-Module thread-sicher sind, kann Slowloris einfach durch Umschalten auf Event- oder Worker-MPMs besiegt werden. ref: hier
quelle
Momentan scheint nichts mehr zu tun zu sein, um die maximale Anzahl gleichzeitiger Verbindungen pro IP auf dem Server zu begrenzen.
quelle
Es gibt einen Benutzer-Patch, den Sie ausprobieren können. Das Zeitlimit wird abhängig von der Auslastung des Servers geändert. In Anbetracht seines Status möchten Sie es jedoch möglicherweise nicht auf einem Produktionscomputer verwenden, ohne ernsthafte Tests durchzuführen. Schauen Sie sich hier um.
quelle
Die iptable-basierte Firewall sollte Sie vor mehreren Verbindungen mit einer IP-Adresse schützen.
quelle
Wenn dies jemand anderem hilft, können Sie dieses Problem manchmal mit Apache 2.2.15 oder höher mit der folgenden Konfiguration überwinden:
Weitere Informationen finden Sie hier: https://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html
quelle