Slow HTTP Denial of Service Attack

整改建議

　　1.中斷使用URL不支持HTTP方法訪問的會話

　　2.限制HTTP頭及包長至一個合理數值

　　3.設置一個絕對的會話超時時間

　　4.服務器支持backlog的狀況下，需設置一個合理的大小

　　5.設置一個最小的入站數據傳輸速率

滲透情況：

安全掃描+手工測試。

漏洞原理：

掃描發現Web

 服務器或應用程序服務器存在Slow HTTP Denial of Service Attack漏洞。

漏洞危害：

當惡意攻擊者以很低的速率發起HTTP請求，使得服務端長期保持鏈接，這樣使得服務端容易形成佔用全部可用鏈接，致使拒絕服務

-----------------------------------------------------------------------

嘗試解決:

1.Just in case : for a plain Tomcat the corresponding solution is to add :

org.apache.tomcat.util.http.Parameters.MAX_COUNT=10000

in catalina.properties

2.   

maxHttpHeaderSize="8192"  設置限制HTTP頭及包長

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" disableUploadTimeout="true" />

3 [機房建議]

tomcat配置文件server.xml 中參考如下設置(注意相應的端口，需重啓服務):

${tomcat-home}/conf/server.xml 中更改Connector的實現，使用nio(非阻塞io)實現替換默認的bio(阻塞io)實現，能夠提升併發鏈接的數量，參考下面的：
<Connector port="8080" protocol="HTTP/1.1" 
connectionTimeout="20000" 
redirectPort="8443" />
改成
<Connector port="8080" protocol="org.apache.coyote.http11.Http11NioProtocol"    
connectionTimeout="8000" 
redirectPort="8443" /> 
把connectionTimeout配置項值改爲8000左右(即8秒)

 

4 stackflow建議

使用apahce + tomcat

利用Apache進行阻擋.