如何保护Tomcat 7免受Slowloris攻击

Question

我正在使用7在Linux上运行我的webapp。我用Acunetix扫描了它，它告诉我，我的webapp应用程序很容易受到“缓慢的HTTP拒绝服务攻击”。我怎样才能保护它？

Acunetix将我转到这里，但它是关于保护Apache，而不是Tomcat的。

Answer 1

针对这个问题，专门为这个问题分配了一个CVE，因为它适用于Apache：CVE-2012-5568。比你所得到的更合适的参考资料。

Tomcat开发人员不要认为这是一个漏洞。，并且没有计划去修复。

可能的解决办法：

• 使用防火墙规则可以防止来自单个主机的过多连接。这将减少运行中的拒绝服务攻击，但不会减少分布式攻击(DDoS)。下面是一个iptables命令的示例，该命令可用于将可以从单个客户端主机建立到端口80的并发连接数量限制为80端口：# iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j REJECT https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2007-6750，但是，如果许多用户合法地从单个IP (例如mega- an )连接，则会产生副作用，因此连接的数量需要进行合理的调整--这取决于所期望的流量。
• 不幸的是，最好的选择是将Tomcat服务放在能够更好地处理HTTP连接(如Apache )的web服务器的下游。然后使用Apache解决方案，如mod_reqtimeout或mod_antiloris。

Answer 2

有一个Apache模块应用了一些启发式方法来检测"slowloris“攻击并进行反击。它被称为mod_antiloris (这是Apache的一个模块，而不是来自Apache软件基金会的模块)。详情请参见这个答案。

请记住，就像对所有拒绝服务攻击一样，没有解决方案，只有缓解。

Answer 3

您的tomcat前面有apache (网络服务器)吗？如果是的话，->升级。apache从2.2.16IIRC开始就不容易受到slowloris的攻击，2.2.16使用debian压缩的工具也不容易受到攻击，这是旧的。

如果您没有反向代理信息，您的tomcat:使用一个，更好的清漆或nginx。

有关使用反向代理的原因，请参阅这个答案@server断层。