最近,一个名为“slowloris”的剧本引起了人们的关注。slowloris 所做的基本概念并不是新的攻击,但鉴于最近的关注,我发现针对我们的一些 Apache 网站的攻击略有增加。
目前似乎没有任何 100% 的防御措施。
我们(到目前为止)确定的最佳解决方案是增加 MaxClients。
这当然无非是增加了对攻击者电脑的要求,并没有真正100%保护服务器。
另一份报告表明,在 Apache 服务器前使用反向代理(例如 Perlbal)有助于防止攻击。
使用 mod_evasive 限制来自一台主机的连接数并使用 mod_security 拒绝看起来像是由 slowloris 发出的请求似乎是迄今为止最好的防御。
ServerFault上有没有人遇到过这样的攻击?如果是这样,您采取了哪些措施来保护/预防它?
注意:这个问题是针对 Apache 服务器的,因为据我了解,Windows IIS 服务器不受影响。
这是一些系统管理员可能会喜欢的有趣问题/场景:
一位公寓楼业主正在向他的租户免费提供互联网接入。基本上他有一个 T1 进入大楼,每间公寓的墙上都有一个 CAT5 插头。对租户来说,互联网接入是“免费的”(包含在租金或其他费用中)。
问题是,一些租户正在通过 bittorrent 下载非法电影/音乐。因此,MPAA 和 RIAA 正在向互联网连接的所有者(即公寓所有者)发送有关非法下载的“讨厌的图”。
公寓所有者已在路由器级别阻止了种子站点列表以及多个文件扩展名,但问题仍然存在。
我想知道的是,是否有人对这个问题有一个聪明/便宜的解决方案?QoS 显然只能在一定程度上起作用,因为 bittorrent 几乎可以使用它想要的任何端口。数据包检查不适用于加密连接等。
公寓业主确实表示,如果他能简单地看到各个公寓单元的上传/下载流量(即潜在的滥用者),他会很高兴。
有任何想法吗?
更新:对讨论法律/律师/社会问题和实际技术解决方案(无论它们可能是什么)不感兴趣。我恳请您投票支持技术讨论而不是法律/社会讨论。谢谢!
答案:选择 Justin Scott 的答案作为正确答案是因为他建议使用管理型交换机和 MRTG。虽然阻止 bittorrent 或至少使其极其困难的 MRTG 会更好,但托管交换机将使我们能够轻松识别违规者。
