Melindungi dari penolakan layanan Keep-Dead

8

Saya pikir server saya aman dengan http-guardian tetapi ternyata tidak. Beberapa keledai terus memukul server saya dengan 'Keep-Dead' dan menyebabkannya crash.

Saya telah melihat-lihat log tetapi tetap tidak dapat melihat permintaan selain dari pengunjung biasa yang perambannya dengan cepat memuat semua komponen pada halaman yang sibuk.

Nasihat apa pun akan dihargai.

Tom O'Connor
sumber
1
Oh maaf, seharusnya saya katakan. Satu-satunya info yang berhasil saya temukan di Keep-Dead sejauh ini adalah di esrun.co.uk/blog/keep-alive-dos-script . Tapi itu tidak mengandung petunjuk tentang cara memblokirnya!
2
Catatan Pedantic: Anda tidak pernah aman. Jika seseorang ingin cukup buruk, mereka akan selalu bisa masuk. Periode.
ircmaxell

Jawaban:

6

Nonaktifkan HTTP tetap-hidup, atau instal server yang tidak terpengaruh oleh ini sebagai proxy di depan Apache. Nginx akan menjadi pilihan yang bagus di sini.

Serangan ini tampaknya mirip dengan serangan Slowloris, karena ia mengeksploitasi fitur spesifik Apache. Cukup sepele untuk bertahan.

Catatan: Jika Anda menginstal nginx, nonaktifkan keep-live di apache, dan tetap aktif di nginx.

devicenull
sumber
3
Bukankah fitur yang cukup penting tetap hidup? Saya bisa mengerti untuk sementara menonaktifkannya, tetapi secara permanen?
TheLQ
1
Ini mungkin menghasilkan waktu muat yang sedikit lebih lama, tapi itu tidak seperti itu akan mengakibatkan situs Anda gagal memuat untuk orang-orang. Memasang nginx di depan adalah solusi yang jauh lebih baik.
devicenull
1
@devicenull Apakah ini berarti klien akan mendapat manfaat dari koneksi keepalive meskipun apache (atau server aplikasi upstream) menonaktifkan keepalive? Jadi pada dasarnya tidak perlu server aplikasi, dan server proxy untuk keduanya mengaktifkan keepalive? Terima kasih!
haxpor
@haxpor Itu pertanyaan yang menarik, saya berharap seseorang akan menjawabnya.
Manuel
1

Keep-Dead berfungsi dengan mengirimkan permintaan HEAD sambil menjaga koneksi TCP tetap hidup (Keep-Alive, demikian nama skrip). Itu mungkin sangat berbeda dari permintaan yang sah ke server web Anda yang mungkin sebagian besar POST / GET. Minta IDS / IPS Anda untuk mendeteksi berbagai permintaan KEPALA dalam rentang waktu singkat dan lakukan yang sesuai.

cathper
sumber