|
Slowloris Protection
|
|
27-06-2011, 01:47 AM
Beitrag #1
|
|||
|
|||
|
Slowloris Protection
Slowloris ist ein Perl Script, welches dafür konzipiert wurde, apache Webserver per DoS lahmzulegen. Ich möchte im folgenden erklären, wie man sich am besten präventiv davor schützen kann.
Geht in die Shell und setzt die folgenden 4 iptables Regeln: Akzeptiert (-j ACCEPT) alle TCP (-p tcp) Verbindungen über Port 80 (–dport 80) zum Webserver Code: iptables -A INPUT -p tcp --dport 80 -j ACCEPTDiese Regel sperrt (-j DROP) jeden Host der mehr als ein Verbindung pro Sekunde (–limit 1/s) aufbaut, wenn schon 10 Verbindungen bestehen (–limit-burst 10) Code: iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROPDiese Regel gibt jeder neuen Verbindung zum Webserver den Namen/Stempel Verbindung (–name Verbindung –set) Code: iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --setVerwirft alle Pakete von einem Host für 15 Sekunden, wenn mehr als 15 neue Verbindungen mit dem Stempel “slowloris” aufgebaut wurden Code: iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowloris --update --seconds 15 --hitcount 15 -j DROPOptional: Im Kernel den IPv4 TCP Timeout auch noch auf 15 Sekunden stellen Code: sysctl -w net.ipv4.tcp_fin_timeout=15Diese Einstellungen sollten nicht leichtfertig gesetzt werden, und auch nur dann, wenn man weiß was dahinter steckt. Auch ist es möglich das die gleichen Settings auf verschiedenen Server unterschiedliche Ergebnisse liefern. Die Werte sind Richtwerte nach denen man sich orientieren kann. Außerdem kann es mit diesen Settings zu diversen Problemen mit aggressiven Crawlern kommen. Quelle: http://e-tut.de/2011/die-abwehr-von-slo ... os-apache/ Modifiziert: Pascal anti-hack Moderator Die große Stärke der Narren ist es, dass sie keine Angst haben, Dummheiten zu begehen. |
|||
|
|
|
Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
