Soru:
Apache Killer ile Savaş
Nam Nguyen
2011-08-23 13:52:11 UTC
view on stackexchange narkive permalink

Üç gün önce KingCope, DoS Apache için Apache Killer adlı basit bir Perl betiği yayınladı.

Bu komut dosyası, isteğe bağlı GZIP kodlamasıyla sunucudan Kısmi İçerik istemek için yaklaşık 50 iş parçacığı başlattı. Bu, ya işletim sisteminin diğer tüm işlemleri öldürmesi gerekmeyecek kadar fazla bellek tüketecek ya da sunucunun dizinin üstüne gelemeyecek kadar fazla CPU kullanacaktır.

Apache Foundation henüz bir yama yayınlamadı.

Bununla mücadele etmenin en iyi yolu nedir?

Komut dosyasına aşina olmayan kişiler için burada bulunabilir - http://www.exploit-db.com/exploits/17696/
Dört yanıtlar:
Dog eat cat world
2011-08-23 16:29:03 UTC
view on stackexchange narkive permalink

Mark Davidson tarafından sağlanan komut dosyasını okuyarak, apache'nin kısmi işlevini gerekirse devre dışı bırakmak, apache'nin kısmi işlevini devre dışı bırakmak olacaktır.

Bu sorun eski bir sorun gibi görünüyor ve bu sorun "çözülmüş" kısmi içerik isteklerini devre dışı bırakma. İşte apache'nin önceki sürümleri için iki yama.

Apache 1.3.36

Apache 2.0.58

Bu yamanın izlerini kontrol etmek için debian squeezy için mevcut apache kaynağını indirdim. Ne yazık ki, bu uygulanmamış gibi görünüyor.

apache2 için kaynak koduna aşina değilim, bu yüzden Bunun için bir yama yazmaya çalışmayacağım. Bu, okuyucu için bir alıştırma olabilir :)

Rory Alsop
2011-08-25 13:23:49 UTC
view on stackexchange narkive permalink

Beş geçici çözüm, Apache posta listesinde tartışılmaktadır. Her biriyle ilgili ayrıntıları okuyun:

1) Çok sayıda aralığı tespit etmek için SetEnvIf veya mod_rewrite kullanın ve ardından Range: başlığını göz ardı edin veya isteği reddedin.

2) İstek alanının boyutunu birkaç yüz bayt ile sınırlayın.

3) Aralık başlıklarının kullanımına izin vermemek için mod_headers kullanın:

4) Geçici bir ara önlem olarak bir Aralık başlık sayım modülünü dağıtın:

5) Tartışılan mevcut yamalardan herhangi birini uygulayın

Daha fazla haber burada: http://www.theregister.co.uk/2011/08/24/devastating_apache_vuln/
Teşekkürler Rory. Başlangıçta Range başlığını devre dışı bıraktım. Neyse ki, doğru bir hareket olduğu ortaya çıktı. Şimdi resmi yamayı beklemek.
@Nam - Apache v2.2.20 bunu düzeltir. Şu an müsait.
Rory Alsop
2011-08-23 21:06:43 UTC
view on stackexchange narkive permalink

http://www.guerilla-ciso.com/archives/2049, kaynak dizisinin tükenmesi yoluyla DoS hakkında mükemmel bir analizin yanı sıra aşağıdakiler de dahil olmak üzere karşı önlemlerle ilgili bazı düşünceler var:

  • Nasıl tespit edeceğinizi bilin.
  • İhtiyacınız yoksa POST'u yöntem olarak devre dışı bırakın.
  • Düşük bir bağlantı zaman aşımı ayarlayın

İyi bir makale yazın.

Yavaş DoS, Apache Killer'ın durumu DEĞİLDİR. Yavaş DoS, yalnızca Apache'yi etkilerken, bahsedilen komut dosyası sistemdeki tüm işlemleri potansiyel olarak öldürebilir. Ayrıca, POST'a kim ihtiyaç duymaz?
Merhaba @Nam - Aynı şey olmadığını biliyorum, ancak bir dizi belirti ve karşı önlem hala yararlı, bu yüzden onu yayınlayacağımı düşündüm. Verdiğim 3 örnek makalenin uzun listesinden ve evet, GET veya POST kullanmayan pek çok web sitesi var :-)
AviD
2011-09-26 05:14:06 UTC
view on stackexchange narkive permalink

Burada oyuna biraz geç kaldık, ancak bir WAF (web uygulaması güvenlik duvarı) da büyük olasılıkla yararlı bir azaltıcı olacaktır.
Bu saldırıdan haberi olmasa bile herhangi bir modern WAF, web sunucusuna ulaşmadan önce bu tür isteklerin engellenmesini kolayca desteklemelidir.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...