Prohost 345 Zgłoś post Napisano Czerwiec 20, 2009 Niedawno wypuszczono program do atakowania serwerów www który bazuje na opisanym tu w teorii ataku: http://www.securityfocus.com/archive/1/456339/30/0/threaded Atak działa na: * Apache 1.x * Apache 2.x * dhttpd * GoAhead WebServer * Squid i na innych niesprawdzonych serwerach. Z tego co wiadomo atak nie działa na: * IIS6.0 * IIS7.0 * lighttpd * Litespeed Atak polega na wysyłaniu nagłówków do serwera www i które są na początku poprawne ale później zamiast kontynuować normalne zapytania wysyła coś czego serwer nie rozumie i tak małym nakładem środków trzyma otwarte połączenie aż do timeoutu który zwykle na serwerach apache to 300 sekund. Czyli jedna osoba z małym łączem jest w stanie skutecznie zablokować serwer. Rozwiązaniem jest limitowanie ilości połączeń jakie dane ip może wykonać przez moda apache. Można też parsować wyniki logów lub strony statusu apache i blokować atakujące ip na firewallu. Proxy napisane w np. perlu i filtrujące komunikację przed serwerem www też jest możliwe. Udostępnij ten post Link to postu Udostępnij na innych stronach
crazyluki 114 Zgłoś post Napisano Czerwiec 20, 2009 to ja może przytoczę jakie rozwiązanie problemu wymyśliła pewna serwerownia (LW) There has been a public release of a Apache DoS tool.You can read about it on the following URL\\\'s http://isc.sans.org/diary.html?storyid=6601 http://ha.ckers.org/slowloris/ All versions of Apache are vulnerable. There are a couple of solutions, one of them is limitipconn http://dominia.org/djao/limitipconn2.html However we have found it does not work as it should on all distributions. We have put together a quick shell script that should give you protection in case your server is being attacked. It currently is a crude version, if you see it does not work on your server please contact our support and we will try and get it working for you. If you suspect your server is being attacked you can download the following to your linux webserver. This script does not work on BSD or windows. http://www.leaseweb.com/antiloris.sh Place the file in some directory and make it executable. # wget -O /usr/local/sbin/antilotis.sh http://www.leaseweb.com/antiloris.sh # chmod 755 /usr/local/sbin/antilotis.sh # echo \"* * * * * /usr/local/sbin/antilotis.sh\" >> /etc/crontab Then edit the file. In the beginning of the file there are a couple of variables: LIMIT=50 EMAILADDRESS=your-email@example.com SENDEMAIL=1 RESTARTAPACHE=1 LIMIT is used for the amount of sessions the attacker has to open before his IP address will be blocked. EMAILADDRESS is the email address you want to receive email alerts on SENDMAIL can be 1 or 0. Set to 0 to no longer receive email. RESTARTAPACHE This variable can restart apache after the IP address has been blocked. Some customers may not want to restart their apache after eac attack, but wait for regular apache time-outs. Udostępnij ten post Link to postu Udostępnij na innych stronach
is_wm 287 Zgłoś post Napisano Czerwiec 20, 2009 trzyma otwarte połączenie aż do timeoutu który zwykle na serwerach apache to 300 sekund Chyba każdy, kto choć raz otworzyl httpd.conf na swoim serwerze zmienia tę wartośc na kilka sekund Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Czerwiec 20, 2009 Z tego co wiadomo atak nie działa na:...i teoretycznie nie powinien działać na nic co stoi za load-balancer'em / SSL accelerator'em / proxy działającym w warstwie 7. Udostępnij ten post Link to postu Udostępnij na innych stronach
Jarosław Szmańda 42 Zgłoś post Napisano Czerwiec 20, 2009 Chyba każdy, kto choć raz otworzyl httpd.conf na swoim serwerze zmienia tę wartośc na kilka sekund <_>10 wystarcza Udostępnij ten post Link to postu Udostępnij na innych stronach
Maciej Kaźmierczak 0 Zgłoś post Napisano Czerwiec 29, 2009 Witam, W przypadku chęci zainstalowania poprawki dla serwera apache2 prosze o kontakt priv badz e-mail. TimeOut niestety nie pomaga Kontakt: mk@it-core.pl mobile: 502520442 Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrys Zgłoś post Napisano Czerwiec 29, 2009 http://dominia.org/djao/limitipconn2.html w pierwszym poście masz, albo skrypt oparty o iptables i wyłapywanie połączeń ustanowionych na port www Udostępnij ten post Link to postu Udostępnij na innych stronach
