加固服務器防范Slowloris攻擊

從2000年開始黑客第一次成功癱瘓當時某些著名的電子商務網(wǎng) 站 后，DoS攻擊一戰(zhàn)成名，直到今日，此種手法仍能活躍，根本原因是TCP/IP通訊協(xié)議或程序設(shè)計的存在缺陷，所以無法根除此類的攻擊手法，但也許可利用相關(guān)的配置來降低此類攻擊的成功率。本文介紹了三種加固Apache服務器從而防范和減弱Slowloris攻擊的方法。

什么是Slowloris攻擊

Slowloris攻擊是利用Web Server的漏洞或設(shè)計缺陷，直接造成拒絕服務。其通過極低的速度往服務器發(fā)送HTTP請求，引起Web Server的所有連接都將被惡意連接占用，導致拒絕服務。與傳統(tǒng)的DoS攻擊不同的地方在于此法只用單一的服務器加上少許的帶寬就可以癱瘓Web服務器。它一般對Web服務器發(fā)送不完整的數(shù)據(jù)包并且以單一 結(jié)尾，這個不是完整的HTTP數(shù)據(jù)包。會造成Web服務器堵塞達到最大連接數(shù)。此類攻擊針對Web服務器，使用Ping命令檢測看不到效果。Slowloris攻擊利用了HTTP協(xié)議的一個特點——等待完整的HTTP請求收到才會進行處理。如果一個HTTP請求不完整，或者是在網(wǎng)絡(luò)上慢速傳遞，HTTP服務器會一直為這個請求保留資源等待它傳輸完畢。如果HTTP服務器有太多的資源都在等待，這就構(gòu)成了DoS攻擊。

通常對于Slowloris攻擊給出的解決辦法是：限制Web服務器的HTTP頭部傳輸?shù)淖畲笤S可時間。

使用mod_reqtimeout模塊

mod_reqtimeout模塊在Apache2.2.15版本后，該模塊已經(jīng)被默認包含用戶可配置從一個客戶端接收HTTP頭部和HTTPbody的超時時間和最小速率。如果一個客戶端不能在配置時間內(nèi)發(fā)送頭部或body數(shù)據(jù)，服務器會返回一個408（Request Time out）錯誤。

修改apache配置文件httpd.conf添加如下內(nèi)容：

在重新啟動Web服務器后，就可以利用mod_reqtimeout模塊來限制（Request）的處理時間。一旦mod_reqtimeout模塊檢測到Slowris攻擊，就會回復HTTP狀態(tài)碼408（Request Timeout）給用戶，用戶查看Apache服務器的日志文件access_log，將出現(xiàn)如圖1所示信息。

圖1 Apache服務器的日志文件

使用mod_qos模塊

mod_qos是 Apache的QoS(Quality of Service)模塊，用以提供各種控制機制包括設(shè)置不同請求的訪問優(yōu)先級，和基于不同資源的服務器訪問控制。QoS（Quality of Service）是一種確保服務質(zhì)量的服務，而mod_qos模塊就是利用控管相關(guān)聯(lián)機的方式來確保網(wǎng)站服務器運作順暢，它可編譯成Apache網(wǎng)站服務器的模塊，為Apache新增QoS功能。

安裝mod_qos的步驟：

首先下載源代碼文件：mod_qos-11.32.tar.gz

然后解壓縮，使用如下命令編譯：

#apxs -i -c mod_qos.c

修改apache配置文件httpd.conf添加如下內(nèi)容

參數(shù)說明：

QS_SrvMaxConnPerIP 50設(shè)定來源的IP能連線到服務器的最大連線數(shù)為50個。

MaxClients 256：最 多256個客戶端連接服務器。

QS_Client Entries 100000： 處理來自多達100000個不同IP的連接。

QS_SrvMaxConnClose 180 接受Keep-alive連接數(shù)是180。

QS_SrvMinDataRate 150 1200設(shè)置最低傳輸速度。

在重啟apacheweb服務器后，即可利用mod_qos模塊來防御Slowris攻擊。

使用mod_security模塊

mod_security是一個集入侵檢測和防御引擎功能的開源Web應用安全程序(或Web應用程序防火墻)。它以Apache Web服務器的模塊方式運行,目標是增強Web應用程序的安全性，防止Web應用程序受到攻擊，首先安裝模塊。

#yum -y install mod_security 它自帶有專門針對慢速攻擊防護的規(guī)則，配置如下：

在重啟apacheweb服務器后，即可利用mod_security模塊來防御Slowris攻擊。