Как защитить Apache от атаки slow post?

Question

[Элль Соломина]

Доброго времени суток!

Подскажите как практически защитить Apache от этой напасти. Указанные ниже параметры и модуль не помогают:

<IfModule reqtimeout_module>
	# Allow 10 seconds to receive the request including the headers and 30 seconds for receiving the request body:
	RequestReadTimeout header=10 body=30

	# Allow at least 10 seconds to receive the request body. If the client sends data, increase the timeout by 1 second for every 1000 bytes received, with no upper limit for the timeout (exept for the limit given indirectly by LimitRequestBody):
	RequestReadTimeout body=10,MinRate=1000

	# Allow at least 10 seconds to receive the request including the headers. If the client sends data, increase the timeout by 1 second for every 500 bytes received. But do not allow more than 30 seconds for the request including the headers:
	RequestReadTimeout header=10-30,MinRate=500

	# Usually, a server should have both header and body timeouts configured. If a common configuration is used for http and https virtual hosts, the timeouts should not be set too low:
	RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500
</IfModule>

Сервер отвечает, но ооочень медленно. Сервер домашний и используется для личных целей, размещать его не дома не выйдет ибо он должен быть доступен в том числе и при отсутствии интернета. Закрывать доступ извне тоже нельзя.

Доп: сервер работает под Wndows.

Доп2: Пошёл читать советы по безопасности для Apache ибо сегодня совсем припекло, 6 МБ лог с ошибками 408 за пару часов, это при том, что я сидел и вручную банил по IP.

Доп3: Нашёл ошибку у себя в конфигурации!

Оказывается я не закоментил лишнее и даже не обратил на этот факт внимания, поправил:

<IfModule reqtimeout_module>
	# Usually, a server should have both header and body timeouts configured. If a common configuration is used for http and https virtual hosts, the timeouts should not be set too low:
	RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500
</IfModule>

Сервер перестал тормозить, проблема, вроде бы, решена. Поскольку атака ещё не кончилась подожду немного, может откопаю чего интересного :)

Доп4: Атака кончилась, на удивление с наступлением полуночи по UTC+4, или я просто все IP побанил к этому времени или ресурсы на той стороне почистили. Одно сказать могу: вот же нечего было делать дебилам, которые с помощью нескольких десятков серверов ддосили задрипанный никому ненужный мелкий веб-сервер. Люди... хотя, скорее, боты.

Answer 1

[Элль Соломина]

Коротко: установить модули mod_reqtimeout + mod_qos + mod_security и настроить их, это также, после настройки, поможет избавиться и от других видов атак.

Подробнее тут: https://www.acunetix.com/blog/articles/slow-http-d...

Для Windows бинари актуальных версий и доп. расширений, собранные под разными VS можно взять тут https://www.apachelounge.com/download/

Answer 2

[Клёвый Админ]

Поставьте перед ним nginx в proxy режиме и всё. У последнего иммунитет (в целом) от такого.

Comments

[Элль Соломина]

Пробовал, даже хотел отдавать статику с помощью него. Но не взлетело, статика не хотела отдаваться, а потому на проблему было забито. Вот кусок конфига, если подскажите, что в нём не так буду благодарен.

server {
        listen 80;
        server_name xxx;

        charset utf-8;

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        location ~ /\.ht {
            deny  all;
        }
		  
        location ~* ^(?!.*\.(?:php|s?html)) {
            root W:\home\www;
        }

        location / {
            #proxy_cache one;
            #proxy_cache_valid 404 502 503 1m;
            #proxy_cache_valid one 1h;

            proxy_pass http://127.0.0.1:8080/;
            proxy_set_header X-REQUEST_URI $request_uri;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-for $remote_addr;
            proxy_set_header Host $host;

            proxy_connect_timeout 10;

            proxy_send_timeout 15;

            proxy_read_timeout 15;

            proxy_redirect off;
            proxy_set_header Connection close;
            proxy_pass_header Content-Type;
            proxy_pass_header Content-Disposition;
            proxy_pass_header Content-Length;
        }
    }

[Клёвый Админ]

Алексей Соломин: Все location кроме "/" лишние. Так же следует убрать "proxy_set_header Connection close" и три нижних proxy_pass_header.
И вроде должно заработать.

[Элль Соломина]

Евгений Быченко: location ~* ^(?!.*\.(?:php|s?html)) для отдачи статики нужен, но он не работает. Остальное сейчас попробую, благодарю.

[Элль Соломина]

Евгений Быченко: так и не получилось настроить выдачу статики nginx. Вместо корня выдаёт 403 и всё тут. Без этого nginx не очень интересен мне. К тому же возиться с двумя веб-серверами ещё накладнее.

[Элль Соломина]

Евгений Быченко: ещё раз благодарю. Пойду спать, а то находясь в Азии подцепил местное респираторное заболевание :) Парадокс, вроде и весна, а простыл. Эксперименты с nginx, да и вообще с настройкой apache продолжу позже.

[Клёвый Админ]

Алексей Соломин: Выздоравливай =) А нджинкс лучше один раз настроить на проксирование всего внутрь и всё, он будет обеспечивать непробиваемость, ssl и будет разгружать апач (который страдает болезнями большого веб сервера). Будет ли при этом нджинкс отдавать статику или нет - не очень важно.