Récemment, un script appelé "slowloris" a attiré l'attention. Le concept de base de ce que fait slowloris n'est pas une nouvelle attaque, mais compte tenu de l'attention récente, j'ai constaté une légère augmentation des attaques contre certains de nos sites Web Apache.
Pour le moment, il ne semble pas y avoir de défense à 100% contre cela.
La meilleure solution que nous avons déterminée (jusqu’à présent) est d’augmenter MaxClients.
Cela ne fait évidemment que renforcer les exigences de l'ordinateur de l'attaquant et ne protège pas réellement le serveur à 100%.
Un autre rapport indique que l’utilisation d’un proxy inverse (tel que Perlbal) devant le serveur Apache peut aider à prévenir l’attaque.
Utiliser mod_evasive pour limiter le nombre de connexions d'un hôte et utiliser mod_security pour refuser des demandes qui semblent avoir été émises par slowloris semble être la meilleure défense à ce jour.
Quelqu'un sur ServerFault a-t-il été victime d'attaques de ce type? Si oui, quelles mesures avez-vous mises en place pour la défendre / l’empêcher?
REMARQUE: cette question concerne les serveurs Apache, car je crois comprendre que les serveurs Windows IIS ne sont pas affectés.