Keep-Deadサービス拒否からの保護

私のサーバーはhttp-guardianで安全だと思いましたが、どうやら安全ではありませんでした。いくつかの賢いお尻は私のサーバーを「キープデッド」で叩き続け、それをクラッシュさせ続けます。

私はログを調べましたが、ブラウザがビジーなページのすべてのコンポーネントをすばやくロードしている通常の訪問者を除いて、要求を伝えるためにとにかく見ることができません。

任意のアドバイスをいただければ幸いです。

security ddos denial-of-service

申し訳ありませんが、私は言っておくべきでした。これまでにKeep-Deadで見つけた唯一の情報はesrun.co.uk/blog/keep-alive-dos-scriptです。しかし、それをブロックする方法についてのヒントは含まれていません！

Pedantic Note：あなたは決して安全ではありません。誰かが十分に悪いことを望んでいるなら、彼らはいつでも入ることができるでしょう。

— ircmaxell 2011年

回答:

HTTPキープアライブを無効にするか、影響を受けないサーバーをApacheの前にプロキシとしてインストールします。ここではNginxが良い選択です。

この攻撃は、Apacheの特定の機能を悪用するという点で、Slowloris攻撃に似ています。防御するのはかなり簡単です。

注：nginxをインストールする場合は、Apacheでキープアライブを無効にし、nginxで有効にしてください。

— デバイスヌル
ソース

キープアライブはかなり重要な機能ではありませんか？一時的に無効にすることは理解できましたが、永久に無効にするのですか？

— TheLQ

読み込み時間がわずかに長くなる可能性がありますが、サイトが他の人に読み込まれなくなるというわけではありません。nginxを前面にインストールすることは、はるかに優れたソリューションです。

— devicenull

@devicenullこれは、Apache（または上流のアプリサーバー）がキープアライブを無効にしても、クライアントがキープアライブ接続の恩恵を受けることを意味しますか？それで、基本的にアプリサーバーとプロキシサーバーの両方でキープアライブを有効にする必要はありませんか？ありがとう！

— haxpor 2018

@haxporそれは興味深い質問です。誰かが答えてくれるといいのですが。

— マヌエル

Keep-Deadは、TCP接続を維持したままHEADリクエストを送信することで機能します（Keep-Alive、つまりスクリプトの名前）。これは、おそらくほとんどがPOST / GETであるWebサーバーへの正当な要求とはまったく異なるものです。IDS / IPSに、短い期間内に多数のHEADリクエストを検出し、適切なことを行うよう依頼します。

— Cathper
ソース