close

Slowloris HTTP DoS 是一種低頻寬的 HTTP DoS 攻擊,
AFFECTS
Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer, others...?

NOT AFFECTED
IIS6.0, IIS7.0, lighttpd, nginx, Cherokee, Squid, others...?

原理是發送不完整的 HTTP 請求封包, 並且傳送後續的 HEADER 使連線不中斷, 很快就可以把 Session 數佔滿,
使得 Web Server 無法服務其他正常用戶, 只需要一台電腦, 跟少量的頻寬, 只要幾百Kbps, 甚至幾十Kbps

測試幾台 Apache Server, 都無招架之力, 一打就掛, 有裝 mod_limitipconn 也沒什麼用,
因為還沒到 mod 處理的階段, Server 也不會有任何 Log

目前想到的只有用 Per Host RatE Limiter 呼叫 iptables 來擋

2012-03-22 Update:
有網友回應使用 mod_antiloris 可以擋, 測試之後的確可以
/usr/local/apache/bin/apxs -i -c mod_antiloris.c

在 httpd.conf 加入以下設定後重啟
LoadModule antiloris_module modules/mod_antiloris.so

IPReadLimit 10

 

 

Article Reproduced:http://pank.org/blog/2012/03/slowloris-http-dos.html

arrow
arrow
    文章標籤
    Slowloris HTTP DoS
    全站熱搜
    創作者介紹
    創作者 mitblog 的頭像
    mitblog

    香腸炒章魚

    mitblog 發表在 痞客邦 留言(0) 人氣()