fail2ban n'est pas utilisable dans le cas d'une attaque de ce type car Apache ne log les requêtes qu'une fois qu'elles ont été exécutées et que celles de slowloris.pl ne sont jamais exécutées.
Vu que l'outil a l'air taillé pour les script-kiddies, un bon monitoring et un "netstat -apn" devraient permettre d'identifier et bloquer rapidement la source d'une attaque. Matthieu Le 24 juin 2009 01:35, Jerome Benoit <[email protected]> a écrit : > Le Wed, 24 Jun 2009 00:26:56 +0200, > Clément Lavoillotte <[email protected]> a écrit : > > > > > Faut plutôt jouer avec TimeOut pour disons limiter la casse par les > > > scripts kiddies ... plus globalement il faut juste mettre des > > > timeout décent sur les sessions TCP. > > > > > > a +. > > > > L'outil envoyant des "bouts" de header HTTP de temps à autre pour > > garder la connexion active, il faudrait soit empêcher les longues > > requêtes (longues en terme de temps), et si possible pas les longues > > réponses (du moins au niveau firewall, sinon le client > > MassDownloadator 2.7 mal fait va pas aimer). > > L'idéal serait d'avoir l'équivalent des SYN cookies sur les requêtes > HTTP ... ou l'équivalent du mécanisme SACK sur TCP. > > > > > Réduire le TimeOut peut effectivement aider, mais peut être embêtant > > (dixit le manuel du parfait petit indien) car elle ne concerne pas > > que le temps de réception de la requête et que le chronométreur de > > paquets s'emmêle les plumes. > > De plus, j'ai fait un essai avec un apache 1.3 en me connectant en > > telnet, tant que j'envoie un header par minute il continue à > > attendre au-delà du temps spécifié dans cette directive (240 en > > l'occurence), et j'ai quand même une réponse polie à la fin. A voir > > si ça le fait aussi avec la version custom d'openbsd ? > > Bonne question, faudrait que je mette à jour ma VM d'openbsd et que je > fasse un test. > > > En attendant une directive spécifique RequestTimeOut (dont il faudra > > user avec prudence pour les uploads), on peut limiter le nombre de > > requêtes venant d'une même ip au niveau du firewall (ce que l'outil > > d'attaque contournera dans la v2 avec la possibilité d'utiliser une > > liste de proxy socks), et éventuellement leur durée (avec tout ce > > que ça implique pour les téléchargements, le keep-alive, etc). > > Ou utiliser une autre version d'apache / un autre serveur web > > "moins" vulnérable, en remplacement ou en reverse proxy. > > fail2ban en local peut aussi aider à faire du rate limiting de > requête HTTP depuis une IP mais le polling des events depuis le > fichier de logs est un mécanisme un peu rustique ... > > a +. > > -- > Jérôme Benoit aka fraggle > La Météo du Net - http://grenouille.com > OpenPGP Key ID : 9FE9161D > Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D >
