Slow HTTP Denial of Service Attack 中文叫作缓慢的HTTP攻击漏洞,网上多数是tomcat的修复方法,然而实际上会碰到iis nginx apache等web服务器的这个问题,于是就有了这个修复集合。
漏洞描述:
利用的HTTP POST:POST的时候,指定一个非常大的content-length,然后以很低的速度发包,比如10-100s发一个字节,hold住这个连接不断开。这样当客户端连接多了后,占用住了webserver的所有可用连接,从而导致DOS。
修复方法:
对web服务器的http头部传输的最大许可时间进行限制,修改成最大许可时间为8秒。
具体方法如下:
tomcat:
tomcat配置文件conf/server.xml中,
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" /> //把connectionTimeout的20000改成8000即可。
apache
httpd.conf下启用mod_reqtimeout模块 去掉下面一行前面的#号
LoadModule reqtimeout_module modules/mod_reqtimeout.so
增加以下配置
<IfModule reqtimeout_module>
RequestReadTimeout header=5-40,MinRate=500 body=20,MinRate=500
</IfModule>
4.重启apache,工具扫描确认漏洞是否修改完成
nginx
关闭慢速连接
您可以关闭正在写入数据的连接,这可能意味着尝试尽可能保持连接打开(从而降低服务器接受新连接的能力)。Slowloris是这种类型的攻击的一个例子。该client_body_timeout指令控制NGINX在客户机体写入之间等待的时间,该client_header_timeout 指令控制NGINX在写入客户机标题之间等待的时间。这两个指令的默认值是60秒。本示例将NGINX配置为在来自客户端的写入或头文件之间等待不超过5秒钟:
server {
client_body_timeout 5s;
client_header_timeout 5s;
# ...
}
参考链接:
https://community.qualys.com/blogs/securitylabs/2011/11/02/how-to-protect-against-slow-http-attacks
https://blogs.msdn.microsoft.com/griffey/2015/08/13/iis-request-filtering-slow-http-attack/
https://www.nginx.com/blog/mitigating-ddos-attacks-with-nginx-and-nginx-plus/