Eu pensei que meu servidor estava seguro com http-guardian, mas aparentemente não. Um espertinho continua batendo no meu servidor com 'Keep-Dead' e causando o travamento.
Examinei os logs, mas não consigo ver de qualquer maneira para diferenciar as solicitações de um visitante comum cujo navegador está carregando rapidamente todos os componentes em uma página ocupada.
Qualquer conselho seria apreciado.
security
ddos
denial-of-service
Tom O'Connor
fonte
fonte
Respostas:
Desative o HTTP keep-alive ou instale um servidor que não seja afetado por isso como proxy na frente do Apache. Nginx seria uma boa escolha aqui.
Esse ataque parece ser semelhante ao ataque do Slowloris, na medida em que explora um recurso específico do Apache. É bastante trivial se defender.
Nota: Se você instalar o nginx, desative o keep-alive no apache e mantenha-o ativado no nginx.
fonte
O Keep-Dead funciona enviando solicitações HEAD enquanto mantém a conexão TCP ativa (Keep-Alive, portanto, o nome do script). Provavelmente, isso é bem diferente das solicitações legítimas para o servidor da web, que provavelmente seriam principalmente POST / GET. Peça ao seu IDS / IPS para detectar inúmeras solicitações HEAD em um curto espaço de tempo e fazer o que for apropriado.
fonte