Slowloris Attacken abwehren mit CSF Firewall auf Linux Servern

Wenn ihr einen Server betreibt und dort ein Apache installiert habt, dann könnte es euch passieren, dass jemand eine DOS Attacke auf euren Server fährt und dazu das Slowloris Skript nutzt.

Das ist weder nett noch – aber einige Leute interessiert das ja nicht. Das Skript macht nichts anderes als viele parallele Anfragen an deinen Server zu senden, diese werden sehr langsam und in Teilen gesendet und die Anfrage wird nicht beendet. Somit werden die Apache Slots belegt und dein (Web)Server ist nicht mehr zu erreichen.
Ihr könnte euch gegen diese Attacke wehren indem ihr eine gepatchte Apache Version einsetzt oder ein entsprechendes Mod einsetzt (Debian Beispiel). Ihr könnt diese Anfragen aber auch per IPTABLES blocken. Dazu benötigt ihr logischerweise einen Server der IP Tables unterstützt.

Wenn ihr nicht die absoluten Cracks seid, dann empfehle ich euch ein Firewall Skript, das Beste was ihr finden könnt ist ConfigServer Security & Firewall – das Skript ist , funktioniert tadellos und ist relativ einfach zu installieren und konfigurieren.
Logischerweise könnt ihr damit auch etwas gegen Slowloris unternehmen, sonst würde ich das ja nicht schreiben :)

Dazu setzt ihr folgenden Eintrag unter dem Punkt ‚Portflood‘ in der csf.conf:

PORTFLOOD = „80;tcp;20;5“

Das bedeutet, dass auf Port 80 eingehende TCP Verbindungen geloggt werden. Wenn mehr als 20 Verbindungen (per Quell IP) innerhalb von 5 Sekunden eingehen, dann wird die Quell IP für 5 Sekunden geblockt.

Diese Einstellung sollte den ’normalen‘ Webtraffik nicht beeinflussen, schützt aber sehr effektiv gegen Slowloris Angriffe.

Wenn du csf bereits vorher installiert hast und keine Portflood Einstellungen vorgenommen hast, dann kannst du das folgende Skript nutzen um auf der Shell die Einstellungen vornehmen zu können. Ist besonders hilfreich, wenn du mehr als einen Server updaten musst :)

cp -r /etc/csf/csf.conf /etc/csf/csf.conf.org
sed -i ’s/PORTFLOOD = „“/PORTFLOOD = „80;tcp;20;5″/g‘ /etc/csf/csf.conf/
etc/init.d/csf restart

dabei wird eine Sicherungskopie (csf.conf.org) erstellt und die Einstellung angepasst.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei Kommentaren. Auch möglich: Abo ohne Kommentar.