mod_qos SSL

[DMPeter]

Moin,

ich habe Heute mal mod_qos getestet gegen slow Angriffe, funktioniert auch gut, nur wenn ich einen Angriff auf Port 443 Starte (SSL) ist alles Offline.

System: Debian Squeeze 64bit, Apache2

Meine config zurzeit:

## QoS Settings
<IfModule mod_qos.c>
    # handles connections from up to 100000 different IPs
    QS_ClientEntries 100000
    # will allow only 50 connections per IP
    QS_SrvMaxConnPerIP 50
    # maximum number of active TCP connections is limited to 256
    MaxClients              256
    # disables keep-alive when 70% of the TCP connections are occupied:
    QS_SrvMaxConnClose      180
    # minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
    QS_SrvMinDataRate       150 1200
    # and limit request header and body (carefull, that limits uploads and post requests too):
    # LimitRequestFields      30
    # QS_LimitRequestBody     102400
</IfModule>

[Sun Apr 08 16:46:15 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=63, c=127.0.0.1
[Sun Apr 08 16:46:15 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=65, c=127.0.0.1
[Sun Apr 08 16:46:15 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=66, c=127.0.0.1
[Sun Apr 08 16:46:15 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=67, c=127.0.0.1
[Sun Apr 08 16:46:15 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=68, c=127.0.0.1
[Sun Apr 08 16:46:33 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=88, message repeated 20 times, c=127.0.0.1
[Sun Apr 08 16:46:52 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=108, message repeated 20 times, c=127.0.0.1
[Sun Apr 08 16:46:55 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=128, message repeated 20 times, c=127.0.0.1
[Sun Apr 08 16:46:58 2012] [error] mod_qos(031): access denied, QS_SrvMaxConnPerIP rule: max=50, concurrent connections=148, message repeated 20 times, c=127.0.0.1

Habt Ihr noch Optimierungsvorschläge ? bzw. auch bezüglich SSL

 

[GwenDragon]

Hast du eine aktuelle Version von mod_qos kompiliert?

 

[virtual2]

Hm, warum nicht nginx vor dem Apachen?

Arbeitet deutlicher effizienter als mod_qos und kommt auch problemlos mit Slowloris Attacken auf dem SSL klar.

Ein kleines HowTo habe ich hier verfasst: http://www.debian-blog.de/?p=90

 

[DMPeter]

@GwenDragon ist Aktuell

@virtual2

War eigentlich erstmal nur zum testen, über nginx habe ich auch nachgedacht.

Zu mod_qos kann ich mommentan folgendes sagen, ich habe es Testweise mit 100 Drohnen probiert und es läuft alles wunderbar weiter aber auf HTTPS (Hypertext Transfer Protocol Secure) PORT 443 NICHT tz..


Werde ich nacher einmal mit nginx testen und dir ein Feedback geben.

 

[d4f]

Koennte es sein dass die staendigen neuen SSL-Handshakes der Drohnen und nicht die Slowloris-Requests an sich hier der limitierende Faktor darstellen?

Der teuerste Teil einer SSL/TLS-Verbindung ist der asymmetrische Schluesselaustausch fuer die HTTPS-Verbindung, danach springt er dann mit dem darueber ausgehandelten Passwort auf eine symmetrische (zB AES) Verschluesslung ueber welche bedeutend billiger ist.