Vlákno názorů k článku Útok Slowloris aneb plíživé nebezpečí pro web servery od Palo M. - A co ked niekto skombinuje Slowloris s DDoS?...
-
Palo M. (neregistrovaný)
A co ked niekto skombinuje Slowloris s DDoS? Teda z jednej IPcky otvori slowloris spojenie len jedno, ale pouzije sa viac pocitacov na utok? Tie moduly, co limituju pocet spojeni (alebo aj pravidlo v iptables) budu potom tiez neucinne (kedze limituju pocet spojeni len z jednej IP-adresy), nie?
- Nedalo by sa tiez nejako osetrit, aby dodatocny timeout bol na cele trvanie spojenia, nie na jedno poslanie dat (tj. ak jeden "zakaznik" trtosi s drobnymi pri pokladni prilis dlho, tak ho ochranka tiez vyvedie von)?
- Dalsia moznost by bola identifikovat utocnika slowloris a namiesto toho, aby ho to odmietlo (vtedy asi bude skusat znova a server zahlti tak ci tak), tak to spojenie nechat tak, ale skratka sa nim uz webserver nebude zaoberat (utocnik si bude mysliet, ako perfektne on odstavil server, lebo spojenie drzi donekonecna, ale server pritom funguje dalej). -
Přesně stejnou otázku jsem si položil taky - co DDoS?
Řešení, které mě napadlo, je jiné: sledovat počty otevřených spojení nejen per IP, ale i celkově. A po překročení hranice začít zavírat ty nejstarší. Tím se sníží riziko, že útok postihne regulérní spojení (regulérní spojení nebude půl hodiny).
Určitě je ale potřeba, aby po překročení nějaké délky spojení šel minimálně zápis do logu.
