Érdekes Apache DoS eszközre figyelmeztet az ISC

Címkék

Az Internet Storm Center arra figyelmeztet, hogy olyan DoS (Denial of Service) támadást lehetővé tevő eszköz érhető el szabadon az interneten, amellyel rendkívül egyszerűen lehet sikeres szolgáltatás-megtagadást előidéző támadást indítani az Apache 1.x, 2.x verziók, a dhttpd, a GoAhead WebServer és a Squid ellen. Az eszköz az elérhető kapcsolatok felemésztésével okoz problémát a webszerver tulajdonosoknak. Jó hír a Microsoft IIS-t, lighttpd-t futtatóknak, hogy ezek a verziók az eddigi ismeretek szerint nem érintettek a problémában. Maga a probléma már régóta ismert, az újdonság annyi, hogy eddig nem jelent meg rá publikusan olyan eszköz, amellyel ki lehetett volna használni. A részletek itt olvashatók.

Hozzászólások

Nézzétek meg a linket weboldal legalján lévő képet :D LOL

Az Apache1-2 elleni (d)dos-t simán meglehet kerülni. Aki nem ért hozza, ne csináljon szervert!

Ez pont nem mennyiségi probléma, legalábbis nem adatmennyiségi.
Azt csinálja, hogy felépít egy kérést, aztán hagyja, hogy timeout-ig várjon az apache szál vagy processz.
Aztán csinálja a következő kapcsolatot.
Mivel az apache véges számú kapcsolatot kezel és alapból nincs korlátozva az egy ip-ről jövő kapcsolatok száma, előbb utóbb megdöglik.

A probléma alapját Dan Kegel már vagy 8-10 éve leírta itt: http://www.kegel.com/c10k.html

És milyen limitet állítasz be a recentnek. A mai böngészők ui. egyszerre akár 5-30 paralell kapcsolatot is nyithatnak egy szerver felé, azaz kb.5-6 ip is elég lehet, hogy egy default apache-t lekókasszon. Kitilthatod persze azokat, akik egyszere túl sok kapcsolatot nyitnak, de akkor esetleg egyes böngészőkben be sem fognak jönni a szerver által hostolt oldalak.

A mai böngészők ui. egyszerre akár 5-30 paralell kapcsolatot is nyithatnak egy szerver felé, azaz kb.5-6 ip is elég lehet, hogy egy default apache-t lekókasszon.

vs

What is Keep-Alive?

The Keep-Alive extension to HTTP, as defined by the HTTP/1.1 draft, allows persistent connections. These long-lived HTTP sessions allow multiple requests to be send over the same TCP connection, and in some cases have been shown to result in an almost 50% speedup in latency times for HTML documents with lots of images.

--
.

Jelen pillanatban úgy néz ki, hogy az apache önmaga nem tudja ezt a problémát megoldani. A javítás egyszerűnek tűnik, kellene olyan timeout beállítás, amelyik a kapcsolatot akkor is megszakítja, ha az éppen csinál valami hasznosat (pl. kéri le a lapot). Ha valakinek a gépe nem képes egy elfogadható időn belül egy oldalt lekérni, az menjen inkább moziba, vagy nézzen tévét ne az internetet.

ebbol is latszik, hogy az apache mennyire elavult

--
When in doubt, use brute force.

Mar nem azert, de az, hogy ciklusban nyit egy tcp kapcsolatot, es var, az kb. 20 sor kod. Egy ilyen dolognal mit szamit, hogy van-e olyan _publikus_ progi, ami ezt kihasznalja? Script kiddie-k eseteben persze sokat, amugy semmit. Szerintem..

--
"ne támogasd az erdők kiírtását mozijeggyel, töltsd le a netről!" - killllll, asva.info