¿Es mod_reqtimeout una técnica suficiente y segura para mitigar los ataques de HTTP HTTP lento?

  

¿Qué configuración de encabezado, cuerpo y minrate se consideran las mejores prácticas y qué cosas debemos tener en cuenta al elegir los valores?

Esto depende en gran medida del caso de uso normal de su sitio web. Debes perfilar tu sitio y sintonizar para evitar falsos positivos. Si solo está alojando un pequeño contenido http estático, puede establecerlo de manera segura bastante bajo. Si devuelve contenido grande, tiene servidores lentos, tiene un código del lado del cliente que inyecta los datos en una conexión a medida que los genera o espera que los usuarios con conexiones deficientes necesiten establecer los límites de una manera que permita esto.

  

¿la habilitación de mod_reqtimeout puede afectar las aplicaciones web que se ejecutan en este servidor web? Y, en caso afirmativo, ¿qué posibles problemas podemos esperar?

Sí. Si una conexión no cumple con las restricciones, se cortará y se devolverá el error 408 REQUEST TIME OUT. Si establece sus límites demasiado bajos, esto sucederá regularmente. También supondría que esto le sucederá a un usuario normal en algún momento, sin importar cuán flojas sean las restricciones. Idealmente, su aplicación debería poder recuperarse de ella (es decir, reenviar la solicitud o notificar con gracia al usuario que hay problemas de conexión).