¿Es mod_reqtimeout una técnica suficiente y segura para mitigar los ataques de HTTP HTTP lento?

3

Hemos estado estudiando la configuración de Apache contra los ataques de HTTP lento DoS y nos topamos con este artículo , que analiza múltiples técnicas y opciones de configuración de apache.

El módulo

mod_reqtimeout parece prometedor y estamos considerando habilitarlo, pero no todo está claro al respecto en este momento:

  • ¿qué ajustes de header , body y minRate se consideran las mejores prácticas y qué cosas debemos tener en cuenta al elegir los valores?
  • ¿la habilitación de mod_reqtimeout puede afectar las aplicaciones web que se ejecutan en este servidor web? Y, en caso afirmativo, ¿qué posibles problemas podemos esperar?
pregunta alecxe 13.12.2017 - 19:05
fuente

1 respuesta

1
  

¿Qué configuración de encabezado, cuerpo y minrate se consideran las mejores prácticas y qué cosas debemos tener en cuenta al elegir los valores?

Esto depende en gran medida del caso de uso normal de su sitio web. Debes perfilar tu sitio y sintonizar para evitar falsos positivos. Si solo está alojando un pequeño contenido http estático, puede establecerlo de manera segura bastante bajo. Si devuelve contenido grande, tiene servidores lentos, tiene un código del lado del cliente que inyecta los datos en una conexión a medida que los genera o espera que los usuarios con conexiones deficientes necesiten establecer los límites de una manera que permita esto.

  

¿la habilitación de mod_reqtimeout puede afectar las aplicaciones web que se ejecutan en este servidor web? Y, en caso afirmativo, ¿qué posibles problemas podemos esperar?

Sí. Si una conexión no cumple con las restricciones, se cortará y se devolverá el error 408 REQUEST TIME OUT. Si establece sus límites demasiado bajos, esto sucederá regularmente. También supondría que esto le sucederá a un usuario normal en algún momento, sin importar cuán flojas sean las restricciones. Idealmente, su aplicación debería poder recuperarse de ella (es decir, reenviar la solicitud o notificar con gracia al usuario que hay problemas de conexión).

    
respondido por el Hector 19.12.2017 - 15:31
fuente

Lea otras preguntas en las etiquetas