Hello! On Friday 06 November 2009 02:48:16 Michael Shigorin wrote: > > Так что лучше использовать менее распространенный и притом > > более безопасный веб-сервер, выдавая его как раз-таки за апач, > > чтоб не выделяться, плюс к тому поставить реверс-прокси, > > который будет валидировать запрос. > > Кстати, а кто таким занимается, кроме apache с mod_security?
Я работал только с Pound и HAProxy. В обоих есть возможности анализа и модификации заголовков, например, можно удалить X-Forwarded-For для внешних запросов. Первый имеет опцию строгой проверки хидеров на соответствие стандарту, второй имеет намного большие возможности, но требует настройки. Вот пример от автора HAProxy: haproxy to protect apache against Slowloris and Nkiller2 DoS attacks http://www.mail-archive.com/hapr...@formilux.org/msg00804.html Обратите внимание, что входящих соединений может быть 20 000, а бэкенд разрешает только 254. Такая конфигурация защищает от некоторых видов атак , поскольку прокси может выдержать на порядки больше открытых (или "полуоткрытых") соединений, нежели бэкенд. Best regards, Alexey Pechnikov. http://pechnikov.tel/