從2000年開始黑客第一次成功癱瘓當(dāng)時某些著名的電子商務(wù)網(wǎng) 站 后，DoS攻擊一戰(zhàn)成名，直到今日，此種手法仍能活躍，根本原因是TCP/IP通訊協(xié)議或程序設(shè)計的存在缺陷，所以無法根除此類的攻擊手法，但也許可利用相關(guān)的配置來降低此類攻擊的成功率。本文介紹了三種加固Apache服務(wù)器從而防范和減弱Slowloris攻擊的方法。

什么是Slowloris攻擊

Slowloris攻擊是利用Web Server的漏洞或設(shè)計缺陷，直接造成拒絕服務(wù)。其通過極低的速度往服務(wù)器發(fā)送HTTP請求，引起Web Server的所有連接都將被惡意連接占用，導(dǎo)致拒絕服務(wù)。與傳統(tǒng)的DoS攻擊不同的地方在于此法只用單一的服務(wù)器加上少許的帶寬就可以癱瘓Web服務(wù)器。它一般對Web服務(wù)器發(fā)送不完整的數(shù)據(jù)包并且以單一 結(jié)尾，這個不是完整的HTTP數(shù)據(jù)包。會造成Web服務(wù)器堵塞達(dá)到最大連接數(shù)。此類攻擊針對Web服務(wù)器，使用Ping命令檢測看不到效果。Slowloris攻擊利用了HTTP協(xié)議的一個特點——等待完整的HTTP請求收到才會進(jìn)行處理。如果一個HTTP請求不完整，或者是在網(wǎng)絡(luò)上慢速傳遞，HTTP服務(wù)器會一直為這個請求保留資源等待它傳輸完畢。如果HTTP服務(wù)器有太多的資源都在等待，這就構(gòu)成了DoS攻擊。

通常對于Slowloris攻擊給出的解決辦法是：限制Web服務(wù)器的HTTP頭部傳輸?shù)淖畲笤S可時間。

使用mod_reqtimeout模塊

mod_reqtimeout模塊在Apache2.2.15版本后，該模塊已經(jīng)被默認(rèn)包含用戶可配置從一個客戶端接收HTTP頭部和HTTPbody的超時時間和最小速率。如果一個客戶端不能在配置時間內(nèi)發(fā)送頭部或body數(shù)據(jù)，服務(wù)器會返回一個408（Request Time out）錯誤。

修改apache配置文件httpd.conf添加如下內(nèi)容：

在重新啟動Web服務(wù)器后，就可以利用mod_reqtimeout模塊來限制（Request）的處理時間。一旦mod_reqtimeout模塊檢測到Slowris攻擊，就會回復(fù)HTTP狀態(tài)碼408（Request Timeout）給用戶，用戶查看Apache服務(wù)器的日志文件access_log，將出現(xiàn)如圖1所示信息。

圖1 Apache服務(wù)器的日志文件

使用mod_qos模塊

mod_qos是 Apache的QoS(Quality of Service)模塊，用以提供各種控制機制包括設(shè)置不同請求的訪問優(yōu)先級，和基于不同資源的服務(wù)器訪問控制。QoS（Quality of Service）是一種確保服務(wù)質(zhì)量的服務(wù)，而mod_qos模塊就是利用控管相關(guān)聯(lián)機的方式來確保網(wǎng)站服務(wù)器運作順暢，它可編譯成Apache網(wǎng)站服務(wù)器的模塊，為Apache新增QoS功能。

安裝mod_qos的步驟：

首先下載源代碼文件：mod_qos-11.32.tar.gz

然后解壓縮，使用如下命令編譯：

#apxs -i -c mod_qos.c

修改apache配置文件httpd.conf添加如下內(nèi)容

參數(shù)說明：

QS_SrvMaxConnPerIP 50設(shè)定來源的IP能連線到服務(wù)器的最大連線數(shù)為50個。

MaxClients 256：最 多256個客戶端連接服務(wù)器。

QS_Client Entries 100000： 處理來自多達(dá)100000個不同IP的連接。

QS_SrvMaxConnClose 180 接受Keep-alive連接數(shù)是180。

QS_SrvMinDataRate 150 1200設(shè)置最低傳輸速度。

在重啟apacheweb服務(wù)器后，即可利用mod_qos模塊來防御Slowris攻擊。

使用mod_security模塊

mod_security是一個集入侵檢測和防御引擎功能的開源Web應(yīng)用安全程序(或Web應(yīng)用程序防火墻)。它以Apache Web服務(wù)器的模塊方式運行,目標(biāo)是增強Web應(yīng)用程序的安全性，防止Web應(yīng)用程序受到攻擊，首先安裝模塊。

#yum -y install mod_security 它自帶有專門針對慢速攻擊防護(hù)的規(guī)則，配置如下：

在重啟apacheweb服務(wù)器后，即可利用mod_security模塊來防御Slowris攻擊。