Slow Read DoS attack

Пн Янв 9 02:48:29 UTC 2012

Hello!

On Sun, Jan 08, 2012 at 06:08:36PM +0400, Андрей Бойко wrote:

> Добрый день.
> 
> Прочитал топик на хабре
> http://habrahabr.ru/blogs/infosecurity/135817/, проверил - все
> ложится на раз.
> Есть мысли, как это забороть? Или это не проблема nginx?

Это скорее проблема настроек, чем nginx'а.  Данная "атака" 
имитирует большое количество медленно читающих ответ клиентов, и 
вполне логично, что если клиентов больше, чем разрешено держать 
соединений nginx'у, то будет проблема.

На уровне nginx'а можно бороться двумя способами:

1) Разрешить nginx'у держать больше соединений, увеличив 
worker_connections, благо это дёшево.  Главное - не забыть 
соответственно настроить операционную систему.

2) Ограничить количество соединений с одного ip-адреса через 
limit_conn.

Maxim Dounin