最近,称为“ slowloris”的脚本已引起关注。slowloris的作用的基本概念不是新的攻击,但是鉴于最近的关注,我发现针对我们的某些Apache网站的攻击有所增加。
目前看来,对此没有任何100%的防御力。
到目前为止,我们确定的最佳解决方案是增加MaxClients。
当然,这无非是增加了对攻击者计算机的要求,实际上并没有100%保护服务器。
另一份报告表明,在Apache服务器之前使用反向代理(例如Perlbal)可以帮助防止攻击。
使用mod_evasive限制来自一台主机的连接数量,并使用mod_security拒绝看起来像是slowloris发出的请求,这到目前为止是最好的防御措施。
ServerFault上是否有人遭受过此类攻击?如果是这样,您采取了什么措施来防御/预防它?
注意:此问题是针对Apache服务器的,因为据我了解,Windows IIS服务器不受影响。
Answers:
我在仲夏(6月23日)中经历过这样的袭击,您应该在乡下喝啤酒:>
我将我的Apache放在Varnish后面,这不仅可以防止虫害,而且可以大大加速Web请求。
另外,iptables对我有帮助:
iptables -I INPUT -p tcp --dport 80 \
-m connlimit --connlimit-above 20 --connlimit-mask 40 -j DROP
此规则将一台主机限制为与端口80的20条连接,这不应影响非恶意用户,但会使一台主机无法使用慢速报警。
mod_antiloris,就这么简单。
基于iptable的防火墙应保护您免受来自1 ip的多个连接的攻击。
如果这对其他人有帮助,则有时可以使用以下配置使用Apache 2.2.15或更高版本解决此问题:
LoadModule reqtimeout_module modules/mod_reqtimeout.so
RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500
此处提供更多信息:https : //httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html