Recentemente, um script chamado "slowloris" ganhou atenção. O conceito básico do que o slowloris faz não é um ataque novo, mas, dada a atenção recente, vi um pequeno aumento nos ataques contra alguns dos sites da Apache.
No momento, não parece haver nenhuma defesa 100% contra isso.
A melhor solução que determinamos (até agora) é aumentar o MaxClients.
Obviamente, isso nada mais é do que aumentar os requisitos para o computador do invasor e, na verdade, não protege 100% o servidor.
Um outro relatório indica que o uso de um proxy reverso (como o Perlbal) na frente do servidor Apache pode ajudar a impedir o ataque.
Usar mod_evasive para limitar o número de conexões de um host e usar mod_security para negar solicitações que parecem ter sido emitidas por slowloris parecem ser a melhor defesa até agora.
Alguém no ServerFault está enfrentando ataques como esse? Em caso afirmativo, que medidas você implementou para defendê-lo / evitá-lo?
NOTA: Esta pergunta é para servidores Apache, pois eu entendo que os servidores Windows IIS não são afetados.
mod_antiloris , simples assim.
fonte
Se todos os seus módulos apache forem seguros para threads, o slowloris poderá ser derrotado simplesmente mudando para MPMs de evento ou de trabalho. ref: aqui
fonte
No momento, parece que não há mais nada a fazer para limitar as conexões simultâneas máximas por ip no servidor.
fonte
Há um patch de usuário que você pode tentar. Ele modifica o tempo limite com base na carga sob a qual o servidor está, mas, considerando seu status, você pode não querer usá-lo em uma máquina de produção, sem alguns testes sérios. Dê uma olhada aqui.
fonte
O firewall baseado em iptable deve protegê-lo de várias conexões a partir de 1 ip.
fonte
Se isso ajudar outras pessoas, às vezes você pode solucionar esse problema com o Apache 2.2.15 ou superior com a seguinte configuração:
Mais informações aqui: https://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html
fonte