11/11/26 01:04:03.66 DL6U6oLW0
暫定対処/1つのセッションでGET/POSTできる数の上限を制限するカーネルのパッチ作成
本格対処:
URLリンク(www.drk7.jp) : →IIS6の仕様を調査
結論から言うと、IIS6 は情報通り slowloris.pl でアタックしても http 接続ができなくなると言う不具合は見受けられませんでした。
<<中略>>
また、僕が携わっているサービスは poundd → apache1/apache2 と振り分けているのですが、poundd が結構良い仕事をしていてくれて、 slowloris.pl で送信される不正リクエストを破棄してくれるようです。
URLリンク(diary.mrmt.net) : →nginxの仕様調査
リクエストをどう処理するかのツクリを狙われてる感じで、いまの apache を使うかぎり対処はなかなか厳しいのですが、最近人気のロシアの nginx だと大丈夫みたいということで、組み合わせをためしてみました。
URLリンク(blog.livedoor.jp) : →これ最強
slowloris という新手の dos 攻撃ツールが出てきたので対策を色々しらべていたのですが、意外な富豪メソッドもあることがわかりましたので一応メモ。
livedoor の各種サービスでも稼働実績のある f5 のロードバランサは、負荷分散のついでに SSL の処理までやってくれたりして、「f5 にできないことはない」
「それ、f5 で出来るよ」などとも言われる魔法の箱です。そしてこれに Application Security Manager (ASM) のモジュールを追加するだけで、
dosアタックをはじめ、いままでアプリケーション側で対応していたほとんどの対策を一手に引き受けてくれるのです。
<<中略>>
ASM はリクエストが完了し、安全が確認されるまでサーバへのコネクションを開かないので、 (そもそもリクエストを完了しない攻撃方法である ) slowloris の
リクエストは、サーバに到達することさえ叶わないということのようですね。
URLリンク(kikuz0u.x0.com)
色々と調査した結果、Slowloris HTTP DoS対策用モジュールが公開されているようです。
mod-pacify-slowloris
URLリンク(d.hatena.ne.jp)
てか、この攻撃をモノともしない IIS とか lighttpd とかってどうやってんのかね?どういう仕組みになってるんだろう。