অ্যাপাচি ওয়েব সার্ভারের বিরুদ্ধে "স্লোলোরিস" ডস আক্রমণ থেকে কীভাবে সর্বোত্তম ডিফেন্ড করতে হয়?


32

সম্প্রতি "স্লোলোরিস" নামে একটি স্ক্রিপ্ট দৃষ্টি আকর্ষণ করেছে। স্লোলেরিস কী করে তার মূল ধারণাটি কোনও নতুন আক্রমণ নয় তবে সাম্প্রতিক মনোযোগের দ্বারা আমি আমাদের কিছু অ্যাপাচি ওয়েবসাইটের বিরুদ্ধে আক্রমণে সামান্য বৃদ্ধি পেয়েছি।

এই মুহুর্তে এর বিরুদ্ধে 100% প্রতিরক্ষা বলে মনে হয় না।

আমরা নির্ধারিত সর্বোত্তম সমাধানটি (এখনও অবধি) ম্যাক্সক্লিয়েন্টগুলি বৃদ্ধি করা।

এটি অবশ্যই আক্রমণকারীর কম্পিউটারের প্রয়োজনীয়তা বাড়ানো ছাড়া আর কিছুই করে না এবং প্রকৃতপক্ষে সার্ভারকে 100% রক্ষা করে না।

অন্য একটি প্রতিবেদন ইঙ্গিত করে যে অ্যাপাচি সার্ভারের সামনে একটি বিপরীত প্রক্সি (যেমন পার্লবাল) ব্যবহার করা আক্রমণ প্রতিরোধে সহায়তা করতে পারে।

এক হোস্টের সংযোগের সংখ্যা সীমাবদ্ধ করার জন্য mod_evasive ব্যবহার করা এবং স্লো্লোরিস দ্বারা জারি করা হয়েছে এমন অনুরোধগুলি অস্বীকার করার জন্য mod_ সুরক্ষা ব্যবহার করুন এটি এখন পর্যন্ত সেরা প্রতিরক্ষা বলে মনে হচ্ছে।

সার্ভারফল্টের কেউ কি এরকম আক্রমণ ভোগ করছে? যদি তা হয় তবে আপনি এটিকে রক্ষা / প্রতিরোধের জন্য কী কী পদক্ষেপগুলি প্রয়োগ করেছেন?

দ্রষ্টব্য: এই প্রশ্নটি অ্যাপাচি সার্ভারগুলির জন্য কারণ এটি আমার বোঝার ফলে উইন্ডোজ আইআইএস সার্ভারগুলি প্রভাবিত হয় না।

উত্তর:


22

আমি এমন আক্রমণটি অনুভব করেছি ... মিডসামার এর মাঝামাঝি সময়ে (২৩ শে জুন), যেখানে আপনি গ্রামাঞ্চলে এবং বিয়ার পান করছেন বলে মনে করা হচ্ছে:>

আমি পিছনে আমার অ্যাপাচি করা বার্নিশ , যা শুধুমাত্র slowloris থেকে রক্ষা করা না, কিন্তু ত্বরিত ওয়েব বেশ একটু অনুরোধ করেছে।

এছাড়াও, iptablesআমাকে সাহায্য করেছেন:

iptables -I INPUT -p tcp --dport 80 \
         -m connlimit --connlimit-above 20 --connlimit-mask 40 -j DROP

এই নিয়মটি একটি হোস্টকে পোর্ট 80 এর সাথে 20 সংযোগের মধ্যে সীমাবদ্ধ করে, যা অ-দূষিত ব্যবহারকারীকে প্রভাবিত করে না, তবে একটি হোস্টের থেকে অকার্যকর স্লোলোরিস সরবরাহ করে।


4
Iptables নিয়মের জন্য +1।
টিম

1
শুধু একটি মাথা আপ. "বাক্সের বাইরে", বার্নিশ পৃষ্ঠাগুলি ক্যাশে করে না যদি এটি কুকিজ পেয়ে থাকে। এটি পেতে আপনাকে কিছু কাস্টম কনফিগারেশন করতে হবে। উদাহরণগুলি তাদের সাইটে উপলব্ধ এবং কার্যকর করা সহজ।
ডেভিড

বার্নিশ বেশ প্রোগ্রামযোগ্য, তাই আপনি যা ঘটছে তা দেখতে এটির সাথে কনফিগার করতে সক্ষম হন এবং এটির মোকাবিলা করতে পারেন। তবে আমি মনে করি যে অ্যাপাচের সামনে একটি প্রক্সি রেখে আপনার সমস্যাটি কেবল ওয়েব সার্ভার থেকে প্রক্সিটিতে স্থানান্তরিত করে। সমস্যাটি এখনও আছে, ঠিক অন্য জায়গায়। সংযোগগুলি / পোর্টগুলি এখনও ব্যবহৃত হবে। আমি তালিকাভুক্ত iptables নিয়ম দিয়ে শুরু করব (বা আপনার ফায়ারওয়ালের সমতুল্য) তারপরে একটি প্রক্সি দেখুন।
ডেভিড

1
স্লোরিস আক্রমণের সমস্যাটি অ্যাপাচি-র একাধিক থ্রেডিং মডেল (এবং একই সাথে অন্যান্য মডেল ব্যবহার করে এমন বেশ কয়েকটি ওয়েবসারভার) সীমাবদ্ধ। বার্নিশ যে বেঁচে থাকা উচিত।
সিয়ান


3

যদি আপনার সমস্ত অ্যাপাচি মডিউল থ্রেড নিরাপদ থাকে তবে স্লোলোরিস কেবল ইভেন্ট বা কর্মী এমপিএমগুলিতে স্যুইচ করেই পরাজিত হতে পারে। রেফ: এখানে


0

এখনই মনে হচ্ছে সার্ভারে আইপি প্রতি সর্বাধিক সংমিশ্রণ সংযোগগুলি সীমাবদ্ধ করার মতো আরও কিছু করার নেই।


0

এমন একটি ব্যবহারকারীর প্যাচ রয়েছে যা আপনি চেষ্টা করতে পারেন। এটি সার্ভারের অধীনে থাকা লোডের উপর ভিত্তি করে টাইমআউটটিকে পরিবর্তন করে তবে এর স্থিতি বিবেচনা করে আপনি কোনও গুরুতর পরীক্ষা ছাড়াই এটি কোনও প্রোডাকশন মেশিনে ব্যবহার করতে চাইবেন না। এখানে একবার দেখুন


0

iptable ভিত্তিক ফায়ারওয়াল আপনাকে 1 আইপি থেকে একাধিক সংযোগ থেকে রক্ষা করা উচিত।


0

এটি যদি অন্য কাউকে সহায়তা করে তবে আপনি কখনও কখনও নীচের কনফিগারেশনের সাহায্যে অ্যাপাচি ২.২.১৫ বা তার চেয়ে বড় সমস্যাটি কাটিয়ে উঠতে পারেন:

LoadModule reqtimeout_module modules/mod_reqtimeout.so
RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500

এখানে আরও তথ্য: https://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.html

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.