Приветствую. Читал о Slow POST атаках, но везде "в общих чертах". Типа делается пост-запрос с большим Content-Length заголовком и медленно передаются данные. Потом соединение прерывается с инициативы клиента не отправив все данные, и открывается новое. А сервер ожидает передачи всех данных и исчерпывает все соединения.
Но у меня возникли вопросы, не могу найти ответа. Прошу разъяснить или направить где это подробно описано.
1. Имеется сервер Apache 2.х Заголовки в ответ выдаёт на обычный запрос
Connection: Keep-alive
Keep-Alive: timeout=5, max=100
Что значит timeout=5? Он закроет соединение через 5 секунд после последнего переданного байта от клиента, или всё таки будет ждать, пока не придут все байты опред. в Content-length?
2. Если курлом делать запрос, то "разрыв" соединения как практически происходит? По таймауту?
3. Если прокси используется, с ним когда соединения рвутся?

netwindjanco, на все три вопроса ответ один - поставьте nginx перед apache.
Как мне nginx ответит на эти вопросы?
@VGrey, спасибо. Но Вы коснулись только стороны работы сервера.
VGreyМеханизм Keep-Alive никаго отношения к Slow POST атакам не имеет. Таймуты Keep-Alive никак не влияют на воможность или невозможность Slow POST.
Вот это я не очень понимаю. На возможность/невозможность нет, а вот на сам ход атаки - сомневаюсь.
Из документации Апача:
apacheSetting KeepAliveTimeout to a high value may cause performance problems in heavily loaded servers. The higher the timeout, the more server processes will be kept occupied waiting on connections with idle clients.
Т.е. от этого значения зависит время ожидания соединения. Чем больше будут ожидаться запросы, тем быстрее лимит исчерпается. А при малом значении часть соединений будут закрываться и освобождаться для обслуживания новых клиентов и их запросов. Или я неправильно понимаю? Здесь также не ясно что такое idle client ?
Например если я курлом делаю запрос (интересует именно его случай) с опцией
--max-time 20
(для примера). И после 20 секунд если все данные не будут переданы, соединение будет закрыто с инициативы клиента, или оно станет idle? - Вот что наиболее меня интересует.
Дальше. Вот цитата с Хабра , что меня сбивает:
отсылаем http запрос, указывая большой content-length и медленно передаем всего по одному байту, обрывая на одном из моментов свой коннект и начиная новый. По стандарту, сервер должен дождаться полной отправки данных (полной — получив содержимое в Content-Length байт), прервав только по таймауту.
По какому таймауту? Вот зато я и спрашиваю. С одной стороны сервер должен дождаться всех байтов, с другой стороны, если я оборву связь на одном из моментов, то он закроет соединение через KeepAliveTimeout - 5 секунд.
Собственно и вопрос: Сколько он будет ждать? Пока не получит все байты, или 5 секунд? Ведь получается одна ситуация другую "перекрывает". Какая приоритетнее?

Basil A. Sidorov3. Новый запрос поступает до истечения тайм-аута после отсылки ответа;

Так ответа никакого и нет потому что запрос не доведён до конца: данные передаются медленно на сервер и потом в один момент прекращается передача. Т.е. будет ждать все байты?