traefik解决慢速攻击问题

配置客户端最大连接数

apiVersion: traefik.containo.us/v1alpha1
kind: Middleware
metadata:
  name: rate-limit
spec:
  rateLimit:
    average: 50  # 每秒允许的平均请求数
    burst: 100   # 最大突发请求数

然后将这个 Middleware 应用到你的 IngressRoute 中：

apiVersion: traefik.containo.us/v1alpha1
kind: IngressRoute
metadata:
  name: example
  namespace: default
spec:
  entryPoints:
    - web
  routes:
    - match: Host(`example.com`)
      kind: Rule
      middlewares:
        - name: rate-limit
      services:
        - name: example-service
          port: 80

配置读超时时间

• EntryPoints 配置

entryPoints:
  web:
    address: ":80"
    transport:
      lifeCycle:
        requestAcceptGraceTimeout: 0s
        graceTimeOut: 10s
      respondingTimeouts:
        readTimeout: 5s # 设置从客户端读取请求头的超时时间，防止慢速发送请求头的攻击。
        writeTimeout: 5s # 设置向客户端写入响应的超时时间。
        idleTimeout: 180s # 空闲连接超时时间，防止攻击者占用空闲连接。
  websecure:
    address: ":443"
    transport:
      lifeCycle:
        requestAcceptGraceTimeout: 0s
        graceTimeOut: 10s
      respondingTimeouts:
        readTimeout: 5s # 设置从客户端读取请求头的超时时间，防止慢速发送请求头的攻击。
        writeTimeout: 5s # 设置向客户端写入响应的超时时间。
        idleTimeout: 180s # 空闲连接超时时间，防止攻击者占用空闲连接。

• 也可以在命令行启动时添加参数

traefik \
  --entryPoints.web.address=":80" \
  --entryPoints.web.transport.respondingTimeouts.readTimeout="10s" \
  --entryPoints.web.transport.respondingTimeouts.writeTimeout="10s" \
  --entryPoints.web.transport.respondingTimeouts.idleTimeout="60s" \
  --entryPoints.websecure.address=":443" \
  --entryPoints.websecure.transport.respondingTimeouts.readTimeout="5s" \
  --entryPoints.websecure.transport.respondingTimeouts.writeTimeout="5s" \
  --entryPoints.websecure.transport.respondingTimeouts.idleTimeout="120s" \
  --entryPoints.websecure.transport.maxIdleConnsPerHost=100

设置 readTimeout 即可。

什么是慢速攻击

对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接（三次握手），指定一个比较大的content-length，然后以非常低的速度发包，比如1-10s发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务。对HTTP服务而言，会有几种基本攻击方式：

• Slow header
• Slow body
• Slow read
  我们可以使用httpslowtest工具来测试程序是否存在此漏洞，这个工具目前提供了docker镜像：

docker run --rm shekyan/slowhttptest:latest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u <test_url> -p 3

工具的参数如下:

-g 在测试完成后，以时间戳为名生成一个CVS和HTML文件的统计数据
-H SlowLoris模式
-B Slow POST模式
-R Range Header模式
-X Slow Read模式
-c number of connections 测试时建立的连接数
-d HTTP proxy host:port 为所有连接指定代理
-e HTTP proxy host:port 为探测连接指定代理
-i seconds 在slowrois和Slow POST模式中，指定发送数据间的间隔。
-l seconds 测试维持时间 -n seconds 在Slow Read模式下，指定每次操作的时间间隔。
-o file name 使用-g参数时，可以使用此参数指定输出文件名
-p seconds 指定等待时间来确认DoS攻击已经成功
-r connections per second 每秒连接个数
-s bytes 声明Content-Length header的值
-t HTTP verb 在请求时使用什么操作，默认GET
-u URL 指定目标url
-v level 日志等级（详细度）
-w bytes slow read模式中指定tcp窗口范围下限
-x bytes 在slowloris and Slow POST tests模式中，指定发送的最大数据长度
-y bytes slow read模式中指定tcp窗口范围上限
-z bytes 在每次的read()中，从buffer中读取数据量