Одиночная IP-атака или другая проблема?
Описание происшествия:
Я заметил в своей панели MRTG, что процессы httpd поднялись до 800 (наш максимум), но все остальные параметры нормальные (процессор, память, трафик)
Я сразу же запустил команду Nestat (netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
), чтобы увидеть, какие IP-адреса генерировали наибольшее количество соединений.
Один IP открыл более 500 соединений.
Мы использовали iptables для запрета ip, все вернулось на круги своя.
Мы используем модуль apache, который ограничивает количество одновременных запросов на IP. он был протестирован, поэтому он работает, но здесь он ничего не сделал. каким-то образом предел был преодолен.
Пожалуйста, помогите мне понять, как избежать ограничения.
1 ответ
Это известно (по крайней мере в последнее время) как медленная атака. По сути, это работает, очень и очень медленно отправляя заголовки в apache. В зависимости от того, как работает модуль, который вы использовали, он может не работать, пока не будет получен весь заголовок запроса, что может занять много времени.
Самое надежное решение этой атаки (и то, которое я бы предложил) - это прикрепить какой-то другой тип веб-сервера / прокси перед apache. Nginx и HAProxy - хороший выбор здесь. Это полностью победит этот тип атаки, и не будет никакого способа избежать их.