详细描述 | 文章源自新逸网络-https://www.xinac.net/9064.html 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。文章源自新逸网络-https://www.xinac.net/9064.html 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每10秒才向服务器发送一个HTTP头部,而Web服务器在没接收到2个连续的时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种攻击类型称为慢速HTTP拒绝服务攻击。 |
解决办法 | 文章源自新逸网络-https://www.xinac.net/9064.html 针对不同的Server其对慢速http拒绝服务攻击防范方法也不同,建议使用以下措施防范慢速http拒绝服务攻击:文章源自新逸网络-https://www.xinac.net/9064.html WebSphere 1、限制 HTTP 数据的大小 任何单个 HTTP 头的默认最大大小为 32768 字节。可以将它设置为不同的值。文章源自新逸网络-https://www.xinac.net/9064.html HTTP 头的默认最大数量为 50。可以将它设置为不同的限制值。文章源自新逸网络-https://www.xinac.net/9064.html 另一种常见的 DOS 攻击是发送一个请求,这个请求会导致一个长期运行的 GET 请求。WebSphere Application Server Plug-in 中的 ServerIOTimeoutRetry 属性可限制任何请求的重试数量。这可以降低这种长期运行的请求的影响。文章源自新逸网络-https://www.xinac.net/9064.html 设置限制任何请求正文的最大大小。文章源自新逸网络-https://www.xinac.net/9064.html 2、设置keepalive参数文章源自新逸网络-https://www.xinac.net/9064.html 打开ibm http server安装目录,打开文件夹conf,打开文件httpd.conf,查找KeepAlive值,改ON为OFF,其默认为ON。文章源自新逸网络-https://www.xinac.net/9064.html 这个值说明是否保持客户与HTTP SERVER的连接,如果设置为ON,则请求数到达MaxKeepAliveRequests设定值时请求将排队,导致响应变慢。文章源自新逸网络-https://www.xinac.net/9064.html 详见参考链接: Weblogic 1、在配置管理界面中的协议->一般信息下设置 完成消息超时时间小于200文章源自新逸网络-https://www.xinac.net/9064.html 2、在配置管理界面中的协议->HTTP下设置 POST 超时、持续时间、最大 POST 大小为安全值范围。文章源自新逸网络-https://www.xinac.net/9064.html http://docs.oracle.com/cd/E12890_01/ales/docs32/integrateappenviron/configWLS.html#wp1101063文章源自新逸网络-https://www.xinac.net/9064.html Nginx 1、通过调整$request_method,配置服务器接受http包的操作限制;文章源自新逸网络-https://www.xinac.net/9064.html 2、在保证业务不受影响的前提下,调整client_max_body_size, client_body_buffer_size, client_header_buffer_size,large_client_header_buffersclient_body_timeout, client_header_timeout的值,必要时可以适当的增加; 3、对于会话或者相同的ip地址,可以使用HttpLimitReqModule and HttpLimitZoneModule参数去限制请求量或者并发连接数; 4、根据CPU和负载的大小,来配置worker_processes 和 worker_connections的值,公式是:max_clients = worker_processes * worker_connections。 Apache 建议使用mod_reqtimeout和mod_qos两个模块相互配合来防护。 1、mod_reqtimeout用于控制每个连接上请求发送的速率。配置例如: 示例: 2、mod_qos用于控制并发连接数。配置例如: 示例: IHS服务器 请您先安装最新补丁包,然后启用mod_reqtimeout模块,在配置文件中加入: F5负载均衡修复建议 F5负载均衡设备有相应的防护模块,如无购买可参考附件中的详细配置过程。 IIS服务器 1、WebLimits设置: 2、headerLimits设置: |
威胁分值 | 6 |
危险插件 | 否 |
发现日期 | 2011-07-07 |
CVSS评分 | 7.5(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) |
评论