Я думал, что мой сервер безопасен с http-guardian, но, видимо, нет. Какая-то умная задница продолжает бить мой сервер с помощью Keep-Dead и вызывать его сбой.
Я просмотрел журналы, но все равно не вижу, чтобы отличить запросы, кроме обычного посетителя, браузер которого быстро загружает все компоненты на загруженной странице.
Любой совет будет принят во внимание.
Отключите проверку активности HTTP или установите сервер, на который это не влияет, в качестве прокси перед Apache. Nginx здесь будет хорошим выбором.
Эта атака похожа на атаку Slowloris в том, что она использует специфическую особенность Apache. Защищаться от этого довольно тривиально.
Примечание. Если вы устанавливаете nginx, отключите keep-alive на apache и оставьте его включенным на nginx.
Keep-Dead работает, отправляя запросы HEAD, поддерживая соединение TCP (Keep-Alive, отсюда и название скрипта). Это, вероятно, сильно отличается от законных запросов к вашему веб-серверу, которые, вероятно, будут в основном POST / GET. Попросите вашу IDS / IPS обнаружить многочисленные запросы HEAD за короткий промежуток времени и сделать то, что необходимо.