Protezione contro la negazione del servizio Keep-Dead


8

pensavo che il mio server fosse sicuro con http-guardian ma apparentemente no. Alcuni culi intelligenti continuano a colpire il mio server con "Keep-Dead" e causandone il crash.

Ho esaminato i registri ma non riesco comunque a vedere le richieste a parte un normale visitatore il cui browser sta caricando rapidamente tutti i componenti su una pagina occupata.

Tutto il consiglio sarebbe apprezzato.


1
Oh scusa, avrei dovuto dirlo. Le uniche informazioni che sono riuscito a trovare su Keep-Dead finora sono su esrun.co.uk/blog/keep-alive-dos-script . Ma non contiene suggerimenti su come bloccarlo!

2
Nota pedante: non sei mai al sicuro. Se qualcuno vuole fare abbastanza male, sarà sempre in grado di entrare. Periodo.
Ircmaxell,

Risposte:


6

Disabilita HTTP keep-alive o installa un server che non viene effettuato da questo come proxy di fronte ad Apache. Nginx sarebbe una buona scelta qui.

Questo attacco sembra essere simile all'attacco di Slowloris, in quanto sfrutta una caratteristica specifica di Apache. È piuttosto banale difendersi.

Nota: se si installa nginx, disabilitare keep-alive su apache e mantenerlo abilitato su nginx.


3
Mantenere in vita una caratteristica piuttosto importante? Potrei capire disabilitarlo temporaneamente, ma in modo permanente?
TheLQ

1
Può comportare tempi di caricamento leggermente più lunghi, ma non è come se il caricamento del tuo sito non fosse possibile per le persone. Installare nginx davanti è una soluzione molto migliore.
devicenull,

1
@devicenull Questo significa che il client trarrà vantaggio dalla connessione keepalive sebbene l'apache (o il server app upstream) sia disabilitato keepalive? Quindi praticamente non è necessario che app server e proxy server abilitino keepalive? Grazie!
haxpor,

@haxpor Questa è una domanda interessante, vorrei che qualcuno rispondesse.
Manuel,

1

Keep-Dead funziona inviando richieste HEAD mantenendo attiva la connessione TCP (Keep-Alive, da cui il nome dello script). Questo è probabilmente abbastanza distinto dalle richieste legittime al tuo server web che probabilmente sarebbero principalmente POST / GET. Chiedi al tuo IDS / IPS di rilevare numerose richieste HEAD in breve tempo e di fare ciò che è appropriato.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.