描述:设置每个IP地址,允许建立多少个处于SERVER_BUSY_READ状态的连接。


语法:SecConnReadStateLimit LIMIT OPTIONAL_IP_MATCH_OPERATOR


用法示例:SecConnReadStateLimit 50 "!@ipMatch 127.0.0.1"


使用范围:主配置文件中使用


版本:v2.8.0-2.9.x(仅适用于Apache)


libModSecurity支持:TBI


默认值:0(无限制)


该配置对防御单一IP地址进行Slowloris攻击有效,但对缓慢发送请求体内容的修改攻击可能不太有效。这是因为Apache一旦读取请求头就将状态切换到SERVER_BUSY_WRITE。作为替代方案,可以考虑使用mod_reqtimeout(2.2.15之后的Apache的一部分),这对于两种攻击类型都是有效的。请参阅减轻缓慢DoS攻击的博客文章 - http://blog.spiderlabs.com/2010/11/advanced-topic-of-the-week-mitigating-slow-http-dos-attacks.html。 v2.8.0和最新版本支持@ipMatch,@ipMatchF和@ipMatchFromFile运算符及其反向匹配(例如!@ipMatch),可以利用这些指令来创建黑名单或白名单。当配置黑名单后,只有属于黑名单内的IP才会被过滤。通过使用SecConnReadStateLimit的多个定义,可以将黑名单和白名单组合在一起,但请注意,限制规则将始终被其后继者所覆盖。


注意:此功能仅适用于Apache。


注意2:在使用此功能之前,请确保SecConnEngine已配置为开启状态。



Created with the Personal Edition of HelpNDoc: Easy EPub and documentation editor