Protección contra la denegación de servicio de Keep-Dead

8

Pensé que mi servidor estaba seguro con http-guardian pero aparentemente no. Algún asno inteligente sigue golpeando mi servidor con 'Keep-Dead' y haciendo que se bloquee.

He revisado los registros pero no puedo ver de todos modos para distinguir las solicitudes, aparte de un visitante habitual, cuyo navegador está cargando rápidamente todos los componentes en una página ocupada.

Cualquier consejo sería apreciado.

security ddos denial-of-service Tom O'Connor
fuente
1
Oh lo siento, debería haber dicho. La única información que he logrado encontrar en Keep-Dead hasta ahora está en esrun.co.uk/blog/keep-alive-dos-script . ¡Pero no contiene pistas sobre cómo bloquearlo!
2
Nota pedante: nunca estás a salvo. Si alguien quiere lo suficientemente malo, siempre podrá entrar. Período.
ircmaxell

Respuestas:

6

Deshabilite HTTP keep-alive o instale un servidor que no se ve afectado por esto como un proxy frente a Apache. Nginx sería una buena opción aquí.

Este ataque parece ser similar al ataque de Slowloris, ya que explota una característica específica de Apache. Es bastante trivial contra el que defenderse.

Nota: Si instala nginx, deshabilite keep-alive en apache y manténgalo habilitado en nginx.

devicenull
fuente
3
¿No es mantener viva una característica bastante importante? Podría entender deshabilitarlo temporalmente, pero de forma permanente.
TheLQ
1
Puede resultar en tiempos de carga un poco más largos, pero no es como si su sitio no se cargara para las personas. Instalar nginx en frente es una solución mucho mejor.
devicenull
1
@devicenull ¿Significa esto que el cliente se beneficiará de la conexión keepalive aunque apache (o el servidor de aplicaciones aguas arriba) deshabilite el keepalive? Entonces, ¿básicamente no hay necesidad de un servidor de aplicaciones y un servidor proxy para habilitar keepalive? ¡Gracias!
haxpor
@haxpor Esa es una pregunta interesante, desearía que alguien respondiera eso.
Manuel
1

Keep-Dead funciona enviando solicitudes HEAD mientras se mantiene viva la conexión TCP (Keep-Alive, de ahí el nombre del script). Eso es probablemente bastante distinto de las solicitudes legítimas a su servidor web que probablemente serían POST / GET. Pídale a su IDS / IPS que detecte numerosas solicitudes HEAD en un corto período de tiempo y haga lo que sea apropiado.

cathper
fuente