Slowloris是一种拒绝服务攻击，攻击者试图通过打开大量与服务器的连接来耗尽服务器资源，但速度极慢。每个打开的连接都会消耗服务器上的一些资源：连接缓冲区和套接字状态只需要一点 RAM，但这仍然是资源。

mod_antiloris是针对此类攻击的启发式过滤器。它试图检测绝对可疑的情况；在这种情况下，当一个客户端（一个 IP 地址）打开了很多与您的服务器的连接并且所有这些连接都处于“READ”状态时，这意味着在 HTTP 协议中，所有这些客户端都应该接下来交谈，但不要这样做，或者做得很慢。

与所有启发式工具一样，有一个权衡：如果过滤器的阈值太高，那么攻击者可能会在不被察觉的情况下保持中等规模的攻击。但是如果门槛太低，那么你就会开始拒绝合法用户。主要问题mod_antiloris是它与IP 地址一起使用，因此它可能与NAT不一致：如果许多不同的人类用户连接在一个执行 NAT 的网络上（例如，来自同一班级的 50 名学生，在大学网络上） ，那么他们的所有连接都会从您的服务器显示为来自相同的 IP 地址，这可能会触发mod_antiloris即使这些客户都是合法的。相反，如果攻击者有足够的动机去分布式（从僵尸网络发起攻击，即他控制的许多不同的主机），那么mod_antiloris将无济于事，因为这看起来像很多不同的合法客户端。

无论如何，我建议您将这个问题留给处理您的主机的人：最好在他们的层面上解决这个问题。您可能想调查谁可能对您怀恨在心，但攻击毕竟可能是非恶意的：一个有缺陷的脚本客户端软件可能会产生相同的效果（尽管它可能不会显示为来自两个不同的IP 地址，一个在巴西，一个在印度尼西亚）。

首先，要求您的 apache 版本；在 apache >= 2.2.16 这个问题是/应该被修复。

如果你想知道你是否可以被slowloris攻击，只需对你的服务器进行压力测试，但也可能涉及滥用http来创建“实时”应用程序:)

“atop”可能有助于分析您的问题。

顺便说一句，对于有很多连接的东西，我更喜欢 nginx。