Attacco Slowloris?

Naviga le tue risposte
8

Qualcuno potrebbe analizzare queste informazioni? Abbiamo informazioni sull'attacco di slowloris. Dicono che (hosting di materiale) hanno implementato mod_antiloris, è sufficiente? Sentiti libero di condividere la tua opinione su questo e di dire se tutte le istanze sono normali. Grazie.

Linux 2.6.37.6-24-desktop ( nostro-nome-sito ) 08/05/13 _x86_64_ (8 CPU)

Dispositivo: rrqm / s wrqm / s r / s w / s rsec / s wsec / s avgrq-sz avgqu-sz attende svctm% util sda 2.60 123.85 2.74 33.30 99.91 1257.43 37.66 1.69 46.77 1.88 6.78

Dispositivo: rrqm / s wrqm / s r / s w / s rsec / s wsec / s avgrq-sz avgqu-sz attende svctm% util sda 0.00 47.60 0,80 19,00 8,00 532,80 27,31 0,13 6,74 2,88 5,70

Dispositivo: rrqm / s wrqm / s r / s w / s rsec / s wsec / s avgrq-sz avgqu-sz attende svctm% util sda 0.00 68.20 1.20 113.40 9.60 1452.80 12.76 2.49 21.73 0.61 7.02

[Mon Aug 05 04:47:30 2013] [warn] Rifiutato, troppe connessioni in stato READ da 189.46.162.217 [Mon Aug 05 04:47:30 2013] [warn] Rifiutato, troppe connessioni in stato READ da 111.95.142.240

    
posta user2633999 05.08.2013 - 12:36
fonte

2 risposte

8

Slowloris è una specie di Attacco Denial-of-Service in cui l'attaccante cerca di esaurire le risorse del tuo server aprendo molte connessioni ad esso, ma essendo estremamente lento. Ogni connessione aperta consuma alcune risorse sul tuo server: solo un po 'di RAM per i buffer di connessione e lo stato del socket, ma sono comunque risorse.

mod_antiloris è un filtro euristico per tali attacchi. Cerca di individuare situazioni che sono sicuramente di pesce; in questo caso, quando un singolo client (un indirizzo IP) ha aperto molte connessioni al tuo server e le ha ancora tutte nello stato "READ", nel senso che nel protocollo HTTP, tutti questi client dovrebbero parlare successivamente, ma non farlo, o fallo molto lentamente.

Come per tutti gli strumenti euristici, c'è un compromesso: se la soglia del filtro è troppo alta, un attaccante può mantenere un attacco a scala media mentre si tiene sotto il radar. Ma se la soglia è troppo bassa, inizierai a rifiutare gli utenti legittimi. Il problema principale con mod_antiloris è che funziona con indirizzi IP , quindi può essere in contrasto con NAT : se molti utenti umani distinti sono connessi su una singola rete che fa NAT (ad esempio 50 studenti della stessa classe, su una rete University), allora tutte le loro connessioni appariranno, dal tuo server, per venire dal stesso indirizzo IP, e questo potrebbe innescare mod_antiloris anche se questi client sarebbero tutti legittimi. Viceversa, se l'attaccante è motivato abbastanza per essere distribuito (lanciando l'attacco da una botnet, cioè un sacco di host distinti sotto il suo controllo), quindi mod_antiloris non sarà di aiuto, perché sembrerà molto distinto, legittimo clienti.

In ogni caso, ti suggerisco di lasciare questo problema alle persone che gestiscono il tuo hosting: questo è meglio indirizzato al loro livello. Potresti voler indagare su chi potrebbe nutrire rancore nei tuoi confronti, ma è possibile che l'attacco non sia malevolo dopotutto: un software client buggy con script può avere lo stesso effetto (anche se probabilmente non apparirebbe come proveniente da due indirizzi IP distinti, uno in Brasile e uno in Indonesia).

    
risposta data 05.08.2013 - 13:10
fonte
0

prima, accetta la tua versione di apache; in apache > = 2.2.16 questo problema è / dovrebbe essere risolto.

se vuoi sapere se sei in grado di attaccare da slowloris, limitati a stressare i tuoi server, ma potrebbe essere coinvolto anche un uso improprio di http per creare un'applicazione "in tempo reale":)

"atop" potrebbe aiutarti ad analizzare il tuo problema.

btw, per cose del genere con molte connessioni preferirei nginx.

    
risposta data 06.08.2013 - 07:06
fonte

Leggi altre domande sui tag

Come forzare il "calcolo costoso" quando i client si connettono al mio server? Il modo migliore per consentire l'accesso sudo quando si usano le chiavi ssh