Slowloris saldırısı geçirdiğime eminim. Web sunucumla maksimum bağlantıları sınırlamak için bir iptables kuralı oluşturdum, ancak bunun gerçekten bir Slowloris saldırısı olup olmadığını ve eğer öyleyse saldırganın IP adresini nasıl bulabileceğimi bilmek istiyorum. Günlükleri ISP'sine aktarmak istiyorum.
Teşekkürler
Yanıtlar:
Slowloris saldırıları, istek verilerini olabildiğince yavaş göndererek çalışır. Bu nedenle, ip adresi başına bant genişliği kullanımını ölçebiliyorsanız, o zaman bir eşiğin altındaysa, (bilinen bir slowloris saldırısında bant genişliğini ölçerek bulunur), saldırı altında olduğunuzu bilirsiniz.
Saldırıları önlemek için web sunucusu yazılımınızı değiştirmenizi öneririm. Varsayılan yapılandırmasında dayanıklı olan cherokee kullanıyorum. Nginx'in savunmasız olup olmadığını tespit edemiyorum, ancak lighttpd. Ayrıca, proxy olarak dayanıklı bir web sunucusu kullanmanın herhangi bir fark yaratacağından emin olamıyorum.
Daha fazla bilgi: http://ha.ckers.org/blog/20090617/slowloris-http-dos/
Seviye 1: Basit Slowloris DOS
Slowloris saldırganının ip adresini bulmak için aşağıdaki komut satırını kullanıyorum:
netstat -ntu -4 -6 | awk '/^tcp/{ print $5 }' | sed -r 's/:[0-9]+$//' | sort | uniq -c | sort -n
Bu size bağlı her IP için etkin bağlantı sayısını verecektir
Basit bir DOS saldırısı altındaysanız, bir veya birkaç IP'ye sahip bir çocuk, 50-100 bağlantılı (veya daha fazla) bir çocuk muhtemelen bırakabileceğiniz bir slowloris saldırganıdır.
Bu, saldırı sırasında sunucuya bağlıysanız onları (gerçek zamanlı "iptables veya tercih ettiğiniz hlfw ile) tespit etmek ve bırakmaktır.
Apache günlüklerinize işlem süresi (% D veya% T argümanı) eklemek, günlükleri analiz ederek yavaş yavaş "postmortem" saldırılarını tespit etmeye de yardımcı olabilir, eğer günlüklerinizde bu bilgi yoksa, ilginç bir şey bulamazsınız . Günlük yapılandırması için http://httpd.apache.org/docs/current/mod/mod_log_config.html adresine bakın .
Seviye 2: Gerçek Büyük Slowloris DDOS
netstat (yenileme için watch netstat kullanın) yine de bazı IP'lerin her zaman bağlı olduğunu görmenize yardımcı olabilir
Slowloris ile mücadele etmek için apache'de reqtimeout modüllerini kurun ve ayarlayın, örnek:
Bundan sonra, access_log içinde gördüğünüz her 408% 99,999'luk bir slowloris saldırgan ip olduğundan emin olur.
Reqtimeout apache modülünü kullanarak, iyi bir özel sunucuda binlerce ips ve binlerce pakete kolayca karşı koyabilirsiniz.
Iptables ayrıca şöyle bir şey için biraz yardımcı olabilir:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j DROP