lighttpd防御 Slow HTTP Denial of Service Attack 解决办法

首先我们先了解一下配置文件中 关于 attack 的配置 Lighttpd配置中，关于超时的参数有如下几个 ：

server.max-keep-alive-idle = 5 server.max-read-idle = 60 server.read-timeout = 0 server.max-connection-idle = 360

这几个参数意思相近，配置的时候很容易搞混。

对于一个keep-alive连接上的连续请求，发送第一个请求内容的最大间隔由参数max-read-idle决定，从第二个请求起，发送请求内容的最大间隔由参数max-keep-alive-idle决定。请求间的间隔超时也由max-keep-alive-idle决定。发送请求内容的总时间超时由参数read-timeout决定。Lighttpd与后端交互数据的超时由max-connection-idle决定。

还有

server.modules  = (                               "mod_evasive",               )

evasive.max-conns-per-ip = 2 

如果要限制流量,可以做如下设置:

connection.kbytes-per-second = 128 //此参数默认值为0,表示无限制 evasive.max-conns-per-ip = 3 //单IP最大的连接数

然后我们再了解一下 Slow HTTP Denial of Service Attack 的攻击行为

利用的HTTP POST：POST的时候，指定一个非常大的

content-length，然后以很低的速度发包，比如10-100s发一个字节，hold住这个连接不断开。这样当客户端连接多了后，占用住了webserver的所有可用连接，从而导致DOS。

简单防御办法就是 对web服务器的http头部传输的最大许可时间进行限制，修改成最大许可时间。

那么怎么才能达到解决这个问题的目的呢？

#Slow attackserver.modules  = (                               "mod_evasive",               ) //开启防御模块evasive.max-conns-per-ip = 50  //限制ip 数量server.max-keep-alive-idle = 10 //根据实际情况越小越好server.max-read-idle = 6 //根据实际情况越小越好

设置好以后，重启lighttpd 我们再通过漏扫软件进行测试，发现 Slow HTTP Denial of Service Attack 漏洞已经解除了。

转载于:my.oschina.net/u/3338945/blog/1842...

本作品采用《CC 协议》，转载必须注明作者和本文链接