achei que meu servidor estava seguro com o http-guardian, mas aparentemente não. Algumas espertinhas continuam batendo no meu servidor com 'Keep-Dead' e causando uma falha.
Examinei os registros, mas não consigo vê-los de qualquer maneira, para diferenciar as solicitações de um visitante regular cujo navegador esteja carregando rapidamente todos os componentes em uma página ocupada.
Qualquer conselho seria apreciado.
Desative o keep-alive de HTTP ou instale um servidor que não seja afetado por isso como um proxy na frente do Apache. O Nginx seria uma boa escolha aqui.
Esse ataque parece ser similar ao ataque de Slowloris, pois ele explora um recurso específico do Apache. É bem trivial se defender contra isso.
Nota: Se você instalar o nginx, desative o keep-alive no apache e mantenha-o ativado no nginx.
Keep-Dead funciona enviando solicitações HEAD enquanto mantém a conexão TCP viva (Keep-Alive, portanto, o nome do script). Isso é provavelmente bem diferente de pedidos legítimos para o seu servidor que provavelmente seriam principalmente POST / GET. Pergunte seu IDS / IPS para detectar inúmeras solicitações HEAD em um curto período de tempo e o que é apropriado.