加固服務器防范Slowloris攻擊

從2000年開始黑客第一次成功癱瘓當時某些著名的電子商務網 站 后，DoS攻擊一戰成名，直到今日，此種手法仍能活躍，根本原因是TCP/IP通訊協議或程序設計的存在缺陷，所以無法根除此類的攻擊手法，但也許可利用相關的配置來降低此類攻擊的成功率。本文介紹了三種加固Apache服務器從而防范和減弱Slowloris攻擊的方法。

什么是Slowloris攻擊

Slowloris攻擊是利用Web Server的漏洞或設計缺陷，直接造成拒絕服務。其通過極低的速度往服務器發送HTTP請求，引起Web Server的所有連接都將被惡意連接占用，導致拒絕服務。與傳統的DoS攻擊不同的地方在于此法只用單一的服務器加上少許的帶寬就可以癱瘓Web服務器。它一般對Web服務器發送不完整的數據包并且以單一 結尾，這個不是完整的HTTP數據包。會造成Web服務器堵塞達到最大連接數。此類攻擊針對Web服務器，使用Ping命令檢測看不到效果。Slowloris攻擊利用了HTTP協議的一個特點——等待完整的HTTP請求收到才會進行處理。如果一個HTTP請求不完整，或者是在網絡上慢速傳遞，HTTP服務器會一直為這個請求保留資源等待它傳輸完畢。如果HTTP服務器有太多的資源都在等待，這就構成了DoS攻擊。

通常對于Slowloris攻擊給出的解決辦法是：限制Web服務器的HTTP頭部傳輸的最大許可時間。

使用mod_reqtimeout模塊

mod_reqtimeout模塊在Apache2.2.15版本后，該模塊已經被默認包含用戶可配置從一個客戶端接收HTTP頭部和HTTPbody的超時時間和最小速率。如果一個客戶端不能在配置時間內發送頭部或body數據，服務器會返回一個408（Request Time out）錯誤。

修改apache配置文件httpd.conf添加如下內容：

在重新啟動Web服務器后，就可以利用mod_reqtimeout模塊來限制（Request）的處理時間。一旦mod_reqtimeout模塊檢測到Slowris攻擊，就會回復HTTP狀態碼408（Request Timeout）給用戶，用戶查看Apache服務器的日志文件access_log，將出現如圖1所示信息。

圖1 Apache服務器的日志文件

使用mod_qos模塊

mod_qos是 Apache的QoS(Quality of Service)模塊，用以提供各種控制機制包括設置不同請求的訪問優先級，和基于不同資源的服務器訪問控制。QoS（Quality of Service）是一種確保服務質量的服務，而mod_qos模塊就是利用控管相關聯機的方式來確保網站服務器運作順暢，它可編譯成Apache網站服務器的模塊，為Apache新增QoS功能。

安裝mod_qos的步驟：

首先下載源代碼文件：mod_qos-11.32.tar.gz

然后解壓縮，使用如下命令編譯：

#apxs -i -c mod_qos.c

修改apache配置文件httpd.conf添加如下內容

參數說明：

QS_SrvMaxConnPerIP 50設定來源的IP能連線到服務器的最大連線數為50個。

MaxClients 256：最 多256個客戶端連接服務器。

QS_Client Entries 100000： 處理來自多達100000個不同IP的連接。

QS_SrvMaxConnClose 180 接受Keep-alive連接數是180。

QS_SrvMinDataRate 150 1200設置最低傳輸速度。

在重啟apacheweb服務器后，即可利用mod_qos模塊來防御Slowris攻擊。

使用mod_security模塊

mod_security是一個集入侵檢測和防御引擎功能的開源Web應用安全程序(或Web應用程序防火墻)。它以Apache Web服務器的模塊方式運行,目標是增強Web應用程序的安全性，防止Web應用程序受到攻擊，首先安裝模塊。

#yum -y install mod_security 它自帶有專門針對慢速攻擊防護的規則，配置如下：

在重啟apacheweb服務器后，即可利用mod_security模塊來防御Slowris攻擊。