slow lorisアタック
ウェブサーバのアクセスログを眺めていると、408エラーで終了しているリクエストが多数あることに気づきました。
こんな感じ。
202.226.91.245 - - [12/Jan/2016:12:22:10 +0900] "-" 408 - "-" "-" 61.115.112.124 - - [12/Jan/2016:12:22:13 +0900] "-" 408 - "-" "-" 61.115.112.124 - - [12/Jan/2016:12:22:13 +0900] "-" 408 - "-" "-" 210.153.80.179 - - [12/Jan/2016:12:22:13 +0900] "-" 408 - "-" "-" 118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-" 118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-" 118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-" 118.238.250.115 - - [12/Jan/2016:12:22:20 +0900] "-" 408 - "-" "-" 126.119.5.237 - - [12/Jan/2016:12:22:23 +0900] "-" 408 - "-" "-" 202.226.91.245 - - [12/Jan/2016:12:22:24 +0900] "-" 408 - "-" "-"
408はタイムアウトなので、HTTPのセッションがタイムアウトしている模様。
なんだろと、いろいろGoogle先生に聞いたところ、どうやらslow lorisアタックではないかと。
HTTPのリクエストを「ゆっくり」送信して、セッションを専有してしまうという攻撃のようです。
対処としては
- TimeOut値を小さくする。
- mod_reqtimeoutを有効にして、ヘッダ、ボディのタイムアウト値を設定する。
くらいかと。