slow http attacks是一種拒絕服務攻擊(dos)方式,這種方式主要是通過以10-100s每位元組的慢速向伺服器傳送http請求。假如乙個http請求沒有結束,或者這個傳輸速率很慢,那麼伺服器就會保留系統的資源來等待還剩餘的資料。當伺服器的當前連線數達到它的額定值,那麼這就造成了dos攻擊。因為slow http attack對攻擊者的資源利用比較小,所以實現這個攻擊也是比較容易的。
在本文中,介紹了乙個方法來保護系統免受slow http attacks,並且可以使攻擊者更難實施這樣的乙個攻擊。
防護策略:
1、對於那些使用url不支援的http方法連線進行拒絕/刪除;
2、限制了報頭和訊息體的最小合理的長度。設定更嚴格的特定的限制url使之適用於接受乙個訊息體的每乙個資源;
3、如果可能的話設定絕對連線超時時間。當然,如果超時太短,你就有可能丟棄合法的慢連線,但是如果它太長,你就得不到任何的攻擊保護。我建議根據你統計的的連線資訊的超時值來設定,例如:超時比連線的位數略高,應滿足大多數合法的客戶端;
4、掛起連線的積壓使伺服器保持連線,它不準備接受,這使得它能夠承受較大的緩慢的http攻擊,以及使合法使用者有機會在高負載下送達。然而,大量積壓也延長了攻擊,因為它積壓的所有連線請求,無論他們是合法的。如果伺服器支援積壓,我建議將它相當大,以使您的http伺服器可以處理的小攻擊;
5、定義最小輸入資料速率和下降是比速度較慢的連線。必須注意不要設定最小太低,否則你可能丟棄合法的連線。
如何讓你的Linux系統免受這個 DHCP 漏洞
前幾天在 dhcp client 中發現並披露了乙個嚴重的安全漏洞。此 dhcp 漏洞會對你的系統和資料造成高風險,尤其是在使用不受信任的網路,如非你擁有的 wifi 接入點時。動態主機控制協議 dhcp 能讓你的系統從其加入的網路中獲取配置。你的系統將請求 dhcp 資料,並且通常是由路由器等伺服...
如何讓你的Linux系統免受這個 DHCP 漏洞
前幾天在 dhcp client 中發現並披露了乙個嚴重的安全漏洞。此 dhcp 漏洞會對你的系統和資料造成高風險,尤其是在使用不受信任的網路,如非你擁有的 wifi 接入點時。動態主機控制協議 dhcp 能讓你的系統從其加入的網路中獲取配置。你的系統將請求 dhcp 資料,並且通常是由路由器等伺服...
新型反黑客RFID晶元保護信用卡免受侵害
美國麻省理工學院的一支研究團隊已經開發出一種新型射頻識別 簡稱rfid 晶元,根據他們的說法這套方案幾乎不可能被惡意人士所利用。一旦為信用卡廠商所接納,該晶元將切實保護我們的信用卡號碼或者卡密資訊遭受竊取。這款晶元能夠防止所謂側通道攻擊 這種攻擊會在裝置執行加密操作時對其儲存器訪問模式或者波動功率進...