Chủ đề: Chống slowloris DDoS cho Apache với Mod_qos

1. Download source và install
- Chuyển về thư mực tmp hay đâu cũng được
cd /tmp
- download bản mới nhất
wget http://fossies.org/unix/www/apache_httpd_modules/mod_qos-10.13.tar.gz
- giải nén
tar xvfz mod_qos-10.13.tar.gz
- install các công cụ cần thiết
yum install apache2-threaded-dev gcc
2. Cài đặt
cd mod_qos-10.13/apache2/
apxs -i -c mod_qos.c
chmod 755 /usr/local/apache/modules/mod_qos.so (chmod 755 /usr/lib64/httpd/modules/mod_qos.so)


sửa config httpd:
nano /etc/httpd/conf/httpd.conf hoặc vi /etc/httpd/conf/httpd.conf


Thêm 2 dòng này vào:


LoadModule qos_module modules/mod_qos.so
Include "/usr/local/apache/conf/qos.conf" (Include "/etc/httpd/conf/qos.conf")


3. config mod_qos ( tao file /etc/httpd/conf/qos.conf )
nano /usr/local/apache/conf/qos.conf


Paste vào đó:



# maximum number of active TCP connections is limited to 256 (limited
# by the available memory, adjust the settings according to the used
# hardware):
MaxClients 256

# idle timeout:
Timeout 45

# keep alive (for up to 70% of all connections):
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 3
QS_SrvMaxConnClose 70%
QS_ClientEntries 1500

# minimum request/response speed (deny slow clients blocking the server,
# e.g. defending slowloris):
QS_SrvMinDataRate 150 1200

# don't allow more than 25 TCP connections per client source address:
QS_SrvMaxConnPerIP 25



Và save lại, sau đó restart apache.

Slowloris cho phép một máy tính duy nhất để lấy xuống máy chủ web của máy khác với băng thông tối thiểu và tác dụng phụ về các dịch vụ không liên quan và cổng. Các công cụ được sử dụng để khởi động tấn công Slowloris có thể được tải về tại http://ha.ckers.org/slowloris/
Slowloris cố gắng để giữ cho các kết nối nhiều máy chủ web mục tiêu mở và giữ họ mở càng lâu càng tốt. Nó thực hiện điều này bằng cách mở các kết nối đến máy chủ web mục tiêu và gửi một yêu cầu một phần. Định kỳ, nó sẽ gửi tiếp theo tiêu đề HTTP , thêm, nhưng không bao giờ hoàn thành các yêu cầu. Máy chủ bị ảnh hưởng sẽ giữ cho các kết nối mở, làm đầy hồ bơi kết nối đồng thời tối đa của họ, cuối cùng phủ nhận nỗ lực kết nối bổ sung từ các khách hàng.
Apache là dễ bị tấn công, chúng ta nên làm một số công tác phòng chống. Chúng tôi cần phải cài đặt một Apache module gọi là mod_antiloris . Module này giới hạn số lượng các chủ đề trong READ cho mỗi IP và Apache bảo vệ chống lại các cuộc tấn công Slowloris. Hướng dẫn cài đặt như sau:
1. Tải về cài đặt và cài đặt từ Sourceforge.net :



$ cd /usr/local/src $ wget http://sourceforge.net/projects/mod-antiloris/files/mod_antiloris-0.4.tar.bz2/download
$ tar -xvjf mod_antiloris-0.4.tar.bz2
$ cd mod_antiloris-*
$ apxs -a -i -c mod_antiloris.c

2. Restart Apache:
$ service httpd restart 3. Kiểm tra xem mod_antiloris được nạp chua:

$ httpd -M | grep antiloris antiloris_module (shared)

hoặc bạn có thể kiểm tra sử dụng httpd fullstatus lệnh:

$ service httpd fullstatus | grep antiloris mod_antiloris/0.4

Đối với các máy chủ cPanel, đừng quên để chạy lệnh sau đây để đảm bảo rằng những sửa đổi mới được kiểm tra vào hệ thống cấu hình bằng cách chạy:

$ /usr/local/cpanel/bin/apache_conf_distiller --update

Chúng tôi đã bảo vệ máy chủ web của chúng tôi từ Slowloris tấn công. Hãy thử bằng cách khởi động các cuộc tấn công Slowloris vào máy chủ web của bạn và kiểm tra trang tình trạng Apache để xem liệu nó có ảnh hưởng hay không. Chúc mừng!