Nível 1: simples slowloris DOS
Para encontrar o endereço IP do atacante slowloris, eu uso a seguinte linha de comando:
netstat -ntu -4 -6 | awk '/^tcp/{ print $5 }' | sed -r 's/:[0-9]+$//' | sort | uniq -c | sort -n
Isto lhe dará o número de conexões ativas para cada IP conectado
Se você está sob um simples ataque DOS, um kiddie com um ou poucos IPs, aquele com 50-100 conexões (ou mais) é provavelmente um atacante slowloris que você pode derrubar.
Isto é para detectar e soltar (com iptables ou sua hlfw preferida) eles "em tempo real" se você estiver conectado no servidor durante o ataque.
Adicionar o tempo de processamento (argumento% D ou% T) nos logs do apache também pode ajudar a detectar ataques de slowloris "postmortem" analisando os logs, se você não tiver essa informação em seus registros, não poderá encontre algo interessante.
Consulte o link para a configuração do registro.
Nível 2: DDOS grandes e reais em slowloris
netstat (use watch netstat para atualização) ainda pode ajudar você a ver que alguns IPs estão sempre conectados
Para combater o slowloris, no apache, instale os módulos reqtimeout e configure-o, por exemplo:
link
Depois disso, a cada 408 que você vê no access_log é 99.999% de certeza que um slower é um atacante ip.
Usando o módulo reqtimeout apache, você pode facilmente enfrentar milhares de ips e milhares de pacotes / segundo em um servidor dedicado decente
Iptables também pode ajudar um pouco com algo como:
iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 100 -j DROP