slowloris 공격대응에 대한 질문 정보
slowloris 공격대응에 대한 질문본문
안녕하세요 사이트 운영하다 유저한분이
slowloris 공격대응미비라고 ㅡ.ㅡ;; 보안문제라고 시급하게 대응하라고 하더라구요.
검색해보니 원채 이해못할 글귀들이 파파팍 좀 속시원히 설명해주실분 계신가요 ㅠ
댓글 전체
대응방법 :
이 공격이 apache만을 목표로 하며 실제 공격 사례 등이 아직 공유되지 않아
당장은 큰 영향은 없을 것으로 보입니다만,
만약의 공격시 아래와 같이 대응할 수 있습니다.
-. Timeout 설정 변경(가장 현실적인 방법)
httpd.conf 에서 Timeout 300 ==> 5 이하로 변경후 httpd reload
5초동안 연속된 패킷이 오지 않을 경우 timeout으로 종료하게 됩니다.
이 설정을 변경해도 서비스에 영향은 없습니다.
-. apache 앞단에 varnishd 등 캐시 서비스로 대체 (단, squid도 취약함)
-. netstat -na | grep ESTABLISHED 실행시 많은 연결이 보이는 IP에 대해 iptables로 차단
=> 공격이 진행시 로그는 남지 않아도 netstat 으로는 보이며 공격IP는
위조될 수 없습니다.
-. iptables의 connlimit(커넥션 제한) 설정
# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP
-. 기타 mod_dosevasive등 모듈로 차단(비권장)
-. 곧 apache에서 패치를 내놓을 것으로 기대합니다.
[출처]http://doodoodoo.egloos.com/1448286
이글이 가장 쉬워보여서 긁어왔습니다 ^^;'
대충 공격방법은 이러합니다 ...
클라에서 접속요청을 서버에게 보낼때 헤더부분을 마지막부분을 안보내서
서버가 대기하게 만드는데요
이때 아파치는 계속 대기하는반면 다른건 에러코드를 낸다고 하네요
계속 대기하는 갯수가 1분 이내에 MaxClient에 도달합니다 ㅇㅁㅇ
이 공격이 apache만을 목표로 하며 실제 공격 사례 등이 아직 공유되지 않아
당장은 큰 영향은 없을 것으로 보입니다만,
만약의 공격시 아래와 같이 대응할 수 있습니다.
-. Timeout 설정 변경(가장 현실적인 방법)
httpd.conf 에서 Timeout 300 ==> 5 이하로 변경후 httpd reload
5초동안 연속된 패킷이 오지 않을 경우 timeout으로 종료하게 됩니다.
이 설정을 변경해도 서비스에 영향은 없습니다.
-. apache 앞단에 varnishd 등 캐시 서비스로 대체 (단, squid도 취약함)
-. netstat -na | grep ESTABLISHED 실행시 많은 연결이 보이는 IP에 대해 iptables로 차단
=> 공격이 진행시 로그는 남지 않아도 netstat 으로는 보이며 공격IP는
위조될 수 없습니다.
-. iptables의 connlimit(커넥션 제한) 설정
# iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j DROP
-. 기타 mod_dosevasive등 모듈로 차단(비권장)
-. 곧 apache에서 패치를 내놓을 것으로 기대합니다.
[출처]http://doodoodoo.egloos.com/1448286
이글이 가장 쉬워보여서 긁어왔습니다 ^^;'
대충 공격방법은 이러합니다 ...
클라에서 접속요청을 서버에게 보낼때 헤더부분을 마지막부분을 안보내서
서버가 대기하게 만드는데요
이때 아파치는 계속 대기하는반면 다른건 에러코드를 낸다고 하네요
계속 대기하는 갯수가 1분 이내에 MaxClient에 도달합니다 ㅇㅁㅇ
아래링크를 클릭하시면 slowloris 방어 관련 기술문서를 보실수 있습니다....^^
cfile22.uf.tistory.com/attach/130248394D0CD4B42A701F
cfile22.uf.tistory.com/attach/130248394D0CD4B42A701F