Как уменьшить уязвимость Apache-php для атак DOS?
Атаки отказа в обслуживании
Атаки типа «отказ в обслуживании» являются общей угрозой, которую следует учитывать при размещении веб-сайта в Интернете. Хотя большинство уязвимостей безопасности можно предотвратить, избегая опасных привычек / приемов кодирования, защита DOS требует другого подхода.
Ленивые атаки DOS
В частности, Меня не так беспокоят изощренные спамеры в сети с дорогим оборудованием (может быть, лучше моего собственного), которые будут принимать оплату за удаление сайтов. Я не могу себе представить, чтобы кто-нибудь заплатил такую сумму денег только за то, чтобы ненадолго отключить мой сайт. Что меня больше беспокоит, так это «ленивые атаки», которые могут исходить от умных подростков, которые хотят проверить свою разрушительную силу на ничего не подозревающих сайтах, особенно тех, кто слышал о моем сайте и проектах на хакатонах и мероприятиях.
Эти «ленивые атаки» чрезвычайно дешевы и просты в исполнении, и могут принимать форму простого скрипта браузера или флуд-программы, которая отправляет огромное количество запросов на серверы моего сайта. Мощную систему (например, мой выделенный сервер) может вывести из строя только слабая система (например, сценарий световых ресурсов), эксплуатируя слабые места в более мощной системе и используя ее силу для работы против самой себя.
В частности, я означают, что один и тот же пользователь постоянно делает запросы к серверу, которые почти не требуют усилий. Если отношение используемых ресурсов сервера к используемым ресурсам клиента больше, чем, по крайней мере, отношение доступных ресурсов сервера к ресурсам клиента, то мой сайт может быть очень легко отключен.
if (Server Resources : Client Resources > Server Power : Client Power)
{
ServerDown();
}
Защита политики запроса-возврата в Apache
I Я не спрашиваю, как сделать мой сайт Apache DOS-доказательством, а скорее как сделать его менее уязвимым для дешевых, ленивых DOS-атак, заблокировав количество запросов, которые один клиент может отправить за установленный период времени, прежде чем рассматривается как злоумышленник. Первоначально задан на Stack Exchange
mod_reqtimeout обрабатывает slowloris DoS-атаки, нацеленные на httpd .
Он работает, устанавливая определенные тайм-ауты для отправки заголовка, тела HTTP-сообщения и различных диапазонов скорости.
Вы можете использовать определенные настройки, но только загрузив модуль, вы уже получаете хорошую настройку, чтобы избежать этого, проверьте официальную документацию по этому поводу по адресу: http://httpd.apache.org/docs/2.4/mod/mod_reqtimeout.html
Что касается всплеска клиентских соединений и т.п., лучше всего использовать разумную настройку IDS / IPS + Firewall.