Apache Webサーバーに対する「スローロリス」DOS攻撃に対する最善の防御方法

最近、「スローロリス」と呼ばれるスクリプトが注目を集めています。slowlorisの基本的な概念は新しい攻撃ではありませんが、最近の注意を考慮すると、一部のApache Webサイトに対する攻撃が少し増加していることがわかりました。

現時点では、これに対する100％の防御策は存在しないようです。

（これまでのところ）私たちが決定した最善の解決策は、MaxClientsを増やすことです。

もちろん、これは攻撃者のコンピューターの要件を増やすだけであり、実際にサーバーを100％保護するわけではありません。

もう1つのレポートは、Apacheサーバーの前でリバースプロキシ（Perlbalなど）を使用すると、攻撃を防ぐことができることを示しています。

mod_evasiveを使用して1つのホストからの接続数を制限し、mod_securityを使用して、slowlorisによって発行されたように見える要求を拒否することが、これまでの最善の防御策のようです。

ServerFaultの誰かがこのような攻撃を受けていますか？もしそうなら、それを防御/予防するためにどのような対策を実施しましたか？

注：この質問は、Windows IISサーバーが影響を受けないと理解しているApacheサーバー向けです。

私はそのような攻撃を経験しました...あなたが田舎にいてビールを飲むことになっている真夏の真ん中（6月23日）に：>

ApacheをVarnishの後ろに置きました。これは、スローロリスから保護するだけでなく、Webリクエストをかなり加速します。

また、iptables助けてくれました：

iptables -I INPUT -p tcp --dport 80 \
         -m connlimit --connlimit-above 20 --connlimit-mask 40 -j DROP

このルールは、1つのホストをポート80への20の接続に制限します。これは、悪意のないユーザーには影響しないはずですが、slowlorisは1つのホストから使用できなくなります。

mod_antiloris、そのように単純です。

すべてのApacheモジュールがスレッドセーフである場合、slowlorisはイベントまたはワーカーMPMに切り替えるだけで無効にできます。ref：ここに

現時点では、サーバー上のIPごとの最大同時接続数を制限することはこれ以上ないようです。

試すことができるユーザーパッチがあります。サーバーが受ける負荷に基づいてタイムアウトを変更しますが、そのステータスを考慮すると、いくつかの深刻なテストなしでは、実稼働マシンで使用したくない場合があります。見てくださいここに。

iptableベースのファイアウォールは、1 ipからの複数の接続からあなたを保護するはずです。

これが他の誰かに役立つ場合は、次の構成でApache 2.2.15以降でこの問題を解決できる場合があります。

LoadModule reqtimeout_module modules/mod_reqtimeout.so
RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500

詳細はこちら：https : //httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html