[note1]

Oluline turvaviga peamiselt apache kasutajatele.
http://ha.ckers.org/blog/20090617/slowloris-http-dos/

Hea masinaga on võimalik luua ka 1000 000 ühendust, et segada toimivust.

Ise proovisin vist 4000 ühendust.

http://ha.ckers.org/slowloris/
Ei soovita kasutada. Toimib.

apachel peaks olema ka turvapluginad

[inzinz]

Uurisin asja ja testisin ka kahe serveriga järgi:
fail2ban asi tundub et ei saa töötada selle ründe vastu efektiivselt, kuna see jälgib apache logisid, slowlorise puhul aga loeb apache alles connection headereid sisse ja logisse ei kirjuta midagi (headeritest tuleb user agent mis logisse läheb, GET request väärtus jne). Rünne aktiivselt käib, logides ei näe midagi, rünnet ära ei blokita. Testimisel oli näha ka, et ründava serveri IP ei jõudnud rünnatava serveri logidesse kusagile. Lisateguriks oli muidugi see, et mul üks teine omatehtud asjandus blokkis ründe ära poole pealt ilma et server oleks kordagi koomas old.
mod-evasive asjandust olen proovinud botneti ründe vastu, ütleks et ega suurt midagi ei aidanud, kuna connectioneid lahmiti nii kiirelt lahti et ei jõudnud normaalselt ära blokkida ja connection limiit kippus täis saama..
mod-spamhaus koodi uurides tundub too töötavat whitelist/blacklist meetodil, lubades/keelates vastavaid ip aadresse ja mingeid spetsiifilisi päringuid. Reaalajas kasvava ja muutuva botneti rünnaku vastu ei aita too midagi. Lisaks oht et staatiliselt filtreerides blokib õigeid requeste ära kui satub sinna mingi spetsiifiline stringi kobminatsioon.
mod-security lisaga on halvad kogemused, et oli ühes serveris peal ja loopis lampi valgeid lehti ette, kuna apache mod kippus arvama et request on "häkkimine" kuigi tegu oli reaalse info postitamisega... Staatiliselt requesti sisu uurimine võib aidata, samas ka kipub pikki näppe andma.

Minupoolne soovitus on igatahes see, et apachel keepalive maha keerata ja üldine timeout panna 1-2 sekundi peale, see peaks enamuse slowlorise asju kinni laksama kui need üritavad default 5 sekundit sleepida.
Enda blokkimise lahendust hetkel demoma ei hakka, a öelda võin niipalju, et see on siiani ühte botnettide ründe all olevat serverit ligi aasta otsa üleval hoidnud stabiilselt ja kaitseb serverit ka slowlorise kasutajate vastu

[transistor]

Asjale on (Apache2 jaoks) põhimõtteliselt ka proof-of-concept tasemel patch kirjutatud, mis vähemalt tavalise slowlorise rünnaku vastu aitas päris edukalt.
Patch MPM prefork'i jaoks: http://synflood.at/tmp/anti-slowloris.diff
Selle modifitseeritud versioon MPM prefork ja MPM worker'i jaoks: http://www.tillo.ch/temp/anti-slowloris.diff
Asja tööpõhimõte peaks olema dünaamiliselt keepalive aega muuta vastavalt serveri koormusele, st mida rohkem ühendusi taga on, seda vähem aega nende järel oodatakse.

Seal samas blog'is pakuti välja ka alternatiivne lahendus: netstat, lsof või muu sarnasega jälgida, kui palju ühendusi ühelt IP aadressilt on ja kui need limiidi ületavad, siis DROP'itakse iptables abil kõik sellelt IP aadressilt tulnud päringud.
Install script: http://hosting.servxs.net/files/install-antiloris.sh
Antiloris script: http://hosting.servxs.net/files/antiloris.txt
Sai ka testitud (küll mitte seda konkreetset scripti) ja pärast väikeseid modifikatsioone toimis.

Need kiired abivahendid on ehk piisavad, et esialgselt ellu jääda. Küllap varsti mingi korralikum lahendus valmib.
Aga jah, igasugu apache moodulid ei paista aitavat, kuna need kipuvad liiga hilja mängu tulema (pärast päiste vastuvõtmist).