Slow HTTP Denial of Service Attack

整改建議apache

  1.中斷使用URL不支持HTTP方法訪問的會話tomcat

  2.限制HTTP頭及包長至一個合理數值安全

  3.設置一個絕對的會話超時時間服務器

  4.服務器支持backlog的狀況下,需設置一個合理的大小併發

  5.設置一個最小的入站數據傳輸速率高併發

滲透情況:測試

安全掃描+手工測試。spa

漏洞原理:orm

掃描發現Webserver

 服務器或應用程序服務器存在Slow HTTP Denial of Service Attack漏洞。

漏洞危害:

當惡意攻擊者以很低的速率發起HTTP請求,使得服務端長期保持鏈接,這樣使得服務端容易形成佔用全部可用鏈接,致使拒絕服務

-----------------------------------------------------------------------

嘗試解決:

1.Just in case : for a plain Tomcat the corresponding solution is to add :

org.apache.tomcat.util.http.Parameters.MAX_COUNT=10000

in catalina.properties

2.   

maxHttpHeaderSize="8192"  設置限制HTTP頭及包長

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" disableUploadTimeout="true" />

3 [機房建議]

tomcat配置文件server.xml 中參考如下設置(注意相應的端口,需重啓服務):

${tomcat-home}/conf/server.xml 中更改Connector的實現,使用nio(非阻塞io)實現替換默認的bio(阻塞io)實現,能夠提升併發鏈接的數量,參考下面的:
<Connector port="8080" protocol="HTTP/1.1
connectionTimeout="20000" 
redirectPort="8443" />
改成
<Connector port="8080" protocol="org.apache.coyote.http11.Http11NioProtocol"    
connectionTimeout="8000" 
redirectPort="8443" /> 
把connectionTimeout配置項值改爲8000左右(即8秒)

 

4 stackflow建議

使用apahce + tomcat

利用Apache進行阻擋.

相關文章
相關標籤/搜索