Slowloris HTTP DoS

user-pic
Vote 0 Votes

Slowloris HTTP DoS 是一種低頻寬的 HTTP DoS 攻擊,
AFFECTS
Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer, others...?

NOT AFFECTED
IIS6.0, IIS7.0, lighttpd, nginx, Cherokee, Squid, others...?

原理是發送不完整的 HTTP 請求封包, 並且傳送後續的 HEADER 使連線不中斷, 很快就可以把 Session 數佔滿,
使得 Web Server 無法服務其他正常用戶, 只需要一台電腦, 跟少量的頻寬, 只要幾百Kbps, 甚至幾十Kbps

測試幾台 Apache Server, 都無招架之力, 一打就掛, 有裝 mod_limitipconn 也沒什麼用,
因為還沒到 mod 處理的階段, Server 也不會有任何 Log

目前想到的只有用 Per Host RatE Limiter 呼叫 iptables 來擋

2012-03-22 Update:
有網友回應使用 mod_antiloris 可以擋, 測試之後的確可以
/usr/local/apache/bin/apxs -i -c mod_antiloris.c

在 httpd.conf 加入以下設定後重啟
LoadModule antiloris_module modules/mod_antiloris.so

IPReadLimit 10

1 Comment

| Leave a comment

Dear Pank大

http://www.apachelounge.com/viewtopic.php?t=4222

我測了一下,看起來加裝mod_antiloris就可以了

Regards

Leave a comment

Recent Comments

About this Entry

This page contains a single entry by Pank published on March 20, 2012 2:43 AM.

Pure Windows Live Messenger 8.5.1302 2012 Update was the previous entry in this blog.

Build Apache 2.4.x is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.

Monthly Archives