首先我们先了解一下配置文件中 关于 attack 的配置 Lighttpd配置中,关于超时的参数有如下几个 :
server.max-keep-alive-idle = 5
server.max-read-idle = 60
server.read-timeout = 0
server.max-connection-idle = 360这几个参数意思相近,配置的时候很容易搞混。
对于一个keep-alive连接上的连续请求,发送第一个请求内容的最大间隔由参数max-read-idle决定,从第二个请求起,发送请求内容的最大间隔由参数max-keep-alive-idle决定。请求间的间隔超时也由max-keep-alive-idle决定。发送请求内容的总时间超时由参数read-timeout决定。Lighttpd与后端交互数据的超时由max-connection-idle决定。
还有
server.modules = (
"mod_evasive",
)evasive.max-conns-per-ip = 2 如果要限制流量,可以做如下设置:
connection.kbytes-per-second = 128 //此参数默认值为0,表示无限制
evasive.max-conns-per-ip = 3 //单IP最大的连接数然后我们再了解一下 Slow HTTP Denial of Service Attack 的攻击行为
利用的HTTP POST:POST的时候,指定一个非常大的
content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。
简单防御办法就是 对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间。
那么怎么才能达到解决这个问题的目的呢?
#Slow attack
server.modules = (
"mod_evasive",
) //开启防御模块
evasive.max-conns-per-ip = 50 //限制ip 数量
server.max-keep-alive-idle = 10 //根据实际情况越小越好
server.max-read-idle = 6 //根据实际情况越小越好设置好以后,重启lighttpd 我们再通过漏扫软件进行测试,发现 Slow HTTP Denial of Service Attack 漏洞已经解除了。
来源:oschina
链接:https://my.oschina.net/u/3338945/blog/1842698