Baru-baru ini sebuah skrip bernama "slowloris" telah mendapatkan perhatian. Konsep dasar dari apa yang slowloris lakukan bukanlah serangan baru tetapi dengan perhatian baru-baru ini saya melihat peningkatan kecil dalam serangan terhadap beberapa situs web Apache kami.
Saat ini tampaknya tidak ada pertahanan 100% terhadap ini.
Solusi terbaik yang telah kami tentukan (sejauh ini) adalah meningkatkan MaxClients.
Ini tentu saja tidak lebih dari meningkatkan persyaratan untuk komputer penyerang dan tidak benar-benar melindungi server 100%.
Satu laporan lain menunjukkan bahwa menggunakan proxy terbalik (seperti Perlbal) di depan server Apache dapat membantu mencegah serangan.
Menggunakan mod_evasive untuk membatasi jumlah koneksi dari satu host dan menggunakan mod_security untuk menolak permintaan yang sepertinya dikeluarkan oleh slowloris tampaknya menjadi pertahanan terbaik sejauh ini.
Adakah orang di ServerFault yang mengalami serangan seperti ini? Jika demikian, tindakan apa yang Anda terapkan untuk mempertahankan / mencegahnya?
CATATAN: Pertanyaan ini untuk server Apache karena pemahaman saya bahwa server Windows IIS tidak terpengaruh.
mod_antiloris , sesederhana itu.
sumber
Jika semua modul apache Anda aman dari thread, slowloris dapat dikalahkan hanya dengan beralih ke MPM acara atau pekerja. ref: di sini
sumber
Saat ini tampaknya tidak ada lagi yang dapat dilakukan untuk membatasi koneksi konkuren maksimum per ip pada server.
sumber
Ada tambalan pengguna yang bisa Anda coba. Ini memodifikasi batas waktu berdasarkan beban server, tetapi mengingat statusnya, Anda mungkin tidak ingin menggunakannya pada mesin produksi, tanpa pengujian serius. Coba lihat di sini.
sumber
Firewall berbasis iptable harus melindungi Anda dari beberapa koneksi dari 1 ip.
sumber
Jika ini membantu orang lain, Anda terkadang dapat mengatasi masalah ini dengan Apache 2.2.15 atau lebih besar dengan konfigurasi berikut:
Info lebih lanjut di sini: https://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html
sumber