Apache服务器现在使用较多的有三种简单防护方式:
mod_reqtimeout:Apache2.2.15后,该模块已经被默认包含,用户可配置从一个客户端接收HTTP头部和HTTPbody的超时时间和最小速率。如果一个客户端不能在配置时间内发送万头部或body数据,服务器会返回一个408REQUEST TIME OUT错误。配置文件如下:
LoadModule
reqtimeout_module module/mod_reqtimeout.so
< IfModule
mod_reqtimeout.c >
RequestReadTimeout
header=20-40,MinRate=500 body=20,MinRate=500
< /IfModule
>
mod_qos:Apache的一个服务质量控制模块,用户可配置各种不同粒度的HTTP请求阈值,配置文件如下:
< IfModule
mod_qos.c >
/# handle
connections from up to 100000 different IPs
QS_ClientEntries
100000
/# allow only 50
connections per IP
QS_SrvMaxConnPerIP
50
/# limit maximum
number of active TCP connections limited to 256
MaxClients 256
/# disables
keep-alive when 180 (70%) TCP connections are occupied
QS_SrvMaxConnClose
180
/# minimum
request/response speed (deny slow clients blocking the server, keeping
connections open without requesting anything
QS_SrvMinDataRate
150 1200
< /IfModule
>
mod_security:一个开源的WAF模块,有专门针对慢速攻击防护的规则,配置如下:
SecRule
RESPONSE_STATUS "@streq 408" "phase:5,t:none,nolog,pass,
setvar:ip.slow_dos_counter=+1, expirevar:ip.slow_dos_counter=60, id:'1234123456′"
SecRule
IP:SLOW_DOS_COUNTER "@gt 5" "phase:1,t:none,log,drop,
msg:'Client
Connection Dropped due to high number of slow DoS alerts', id:'1234123457′"
传统的流量清洗设备针对CC攻击,主要通过阈值的方式来进行防护,某一个客户在一定的周期内,请求访问量过大,超过了阈值,清洗设备通过返回验证码或者JS代码的方式。这种防护方式的依据是,攻击者们使用肉鸡上的DDoS工具模拟大量http request,这种工具一般不会解析服务端返回数据,更不会解析JS之类的代码。因此当清洗设备截获到HTTP请求时,返回一段特殊JavaScript代码,正常用户的浏览器会处理并正常跳转不影响使用,而攻击程序会攻击到空处。
而对于慢速攻击来说,通过返回验证码或者JS代码的方式依然能达到部分效果。但是根据慢速攻击的特征,可以辅助以下几种防护方式:1、周期内统计报文数量。一个TCP连接,HTTP请求的报文中,报文过多或者报文过少都是有问题的,如果一个周期内报文数量非常少,那么它就可能是慢速攻击;如果一个周期内报文数量非常多,那么它就可能是一个CC攻击。2、限制HTTP请求头的最大许可时间。超过最大许可时间,如果数据还没有传输完成,那么它就有可能是一个慢速攻击。
网友评论