[精讚] [會員登入]
[無邊框]
  1. 精讚
  2. 外行中的外行首頁
  3. 網管心得
  4. server
  5. 測試及處理slow http attack on Apache 2.4.6 at CentOS-7
946

測試及處理slow http attack on Apache 2.4.6 at CentOS-7

avoiding and testing slow http attack

分享此文連結 //n.sfs.tw/14866

分享連結 測試及處理slow http attack on Apache 2.4.6 at CentOS-7@外行中的外行
(文章歡迎轉載,務必尊重版權註明連結來源)
2020-12-12 22:32:34 最後編修
2020-12-12 21:58:31 By jung
 

弱點掃描傳來一個歷史悠久(問谷歌大約十年前了)的弱點,叫做slow http attack

看起來是利用apache會暫時保留http連線以加快存取速度的運作方式,用http method(POST,GET)間隔送出header 或body request的方式,逐漸消耗apache資源達到DoS攻擊效果,它不需要大量頻寬或連線數來達成,只要利用timeout間隔就可達成中斷服務的成效,

問了大神,說有三種處理方式

1. mod_qos: apache2.4之後不支援了

2. mod_reqtimeout: 最簡單

在CentOS-7 /etc/httpd/conf/httpd.conf檔案新增下列IfModule

<IfModule mod_reqtimeout.c>
  RequestReadTimeout header=20-40,MinRate=500 body=20-40,MinRate=500
</IfModule>

Apache2 預設已經加入mod_reqtimeout的函式庫,直接引入就可以

3. mod_security:設定最複雜

先安裝:yum install mod_security

重啟apache:systemctl restart httpd

到/etc/httpd/conf.d目錄下會發現多了一個mod_security.conf

/etc/httpd/目錄下多了一個目錄modsecurity.d/activated_rules裡面是空的

下載及設定 OWASP (Open Web Application Security Project) 的 rule 作為基本設定

切到/etc/httpd目錄下

git clone https://github.com/SpiderLabs/owasp-modsecurity-crs.git

得到一個範例目錄owasp-modsecurity-crs 我改名為modsecurity-crs

切換到modsecurity-crs下將範例規則放到modsecurity.d/activated_rules/目錄下

cp crs-setup.conf.example ../modsecurity.d/activated_rules/modsecurity_crs_10_config.conf

重新啟動httpd就完成了

測試結果:我做了2.mod_reqtimeout和3.mod_security

在ubuntu20.04版用slowhttptest這個套件測試

https://github.com/shekyan/slowhttptest/wiki/InstallationAndUsage

一開始先用mod_reqtimeout 感覺沒有差別

./slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://myseceureserver/resources/index.html -x 24 -p 3

 

服務還是中斷了大概30幾秒~哭哭

後改用mod_security

服務中斷的時間變短了@@

最後修改apache2 的mpm (Multi-Processing Module) 為 event module 事件模式(thread based)

好像有好一點...嗎@@

後來用httperf 測出我這台CentOS-7 上的 Apache2.4.6 最大線程數就大約200...slowhttptest 連線超過的話,服務就中斷了~

https://www.netadmin.com.tw/netadmin/zh-tw/technology/79EE785099FF4659A813C710D92834D8

$httperf --server myserver.com --port 443 --num-conn 200 --num-call 10 --rate 200 --timeout 5

於是把slowhttptest的參數改了一下(汗顏)

slowhttptest1.8.2/bin/slowhttptest -c 200 -H -g -o header_stats -i 10 -r 200 -t GET -u https://myserver.com/ -x 24 -p 3

最多一次200個連線數,看起來就...好像可以@@

 

後來測了一個知名大網站oidc.tanet

看看人家的圖表多麼厲害~1000個連線數,完全沒有中斷服務

到底是~設定還是系統環境差別在哪裡呢@@

參考文件:

https://blog.lpchen.me/2016/08/19/How-to-mitigate-Slow-HTTP-Dos-Attack-on-Apache-2-4-in-Ubuntu/

https://github.com/shekyan/slowhttptest/wiki/InstallationAndUsage

https://www.researchgate.net/publication/323194627_A_Review_of_Defense_Against_Slow_HTTP_Attack

https://www.opencli.com/apache/rhel-centos-install-mod_security

https://www.netadmin.com.tw/netadmin/zh-tw/technology/79EE785099FF4659A813C710D92834D8

https://www.tomica.net/blog/2016/07/change-apache-mpm-on-centos-7

 

END

你可能感興趣的文章

在ESXI6.7修改系統時間 how to modify esxi system time setting for good

IIS10設定url rewrite to https if you setup url rewrite function in IIS10, might cause api callback failed

在windows server建立radius服務使用active directory帳號驗證 setup windows server to add radius service using active directory accounts for authentication

在家設定openvpn server on pfsense 在家設定openvpn server on pfsense

測試及處理slow http attack on Apache 2.4.6 at CentOS-7 avoiding and testing slow http attack

logrotate執行權限問題 logrotate will failed to execute if selinux policy not setup correctly

隨機好文

安裝netbeans9遇到的小狀況 how to show netbeans9 program onto ubuntu desktop

更新IDP程式以新增及修正本地管理帳號登入 add locallogin page and function with local authorized account

IIS10設定url rewrite to https if you setup url rewrite function in IIS10, might cause api callback failed

how to stop wildfly keeping standalone server log how to stop wildfly keeping standalone server log

縣市端新增syncdata spi功能 為了讓部裡主機可以透過OAUTH2流程,呼叫縣市同步SYNCDATA 的API

網站說明文檔

新手上路小秘訣

精讚首頁各區塊選文標準

使用火狐的閱讀模式

個人首頁各區塊選文標準

..更多說明文件..

關於精讚

寫文章也能賺錢?是的

客服留言版在這裡

更新記要/異動記錄等資訊

新版精讚設計緣由

部落格帳號的退場機制,我的部落格一直有效嗎?

..更多關於精讚..

加入精讚一起創作

這裡歡迎有興趣寫文的人加入,本站採收益共享,因此「業配文」、「廣告文」、「傳直銷保險相關文章」、「商品文」若因此有營收需貢獻20%給網站以利網站永續經營。若您想成為此BLOG的格主,歡迎您填寫以下表格申請,一起為優質好文努力。 加入精讚一起創作
 

快速連結

精讚部落客服留言版 有問題這裡留言