Hallo,
ich mache es mal kurz mit Verweis auf:
http://www.golem.de/0906/67854.html
Gibts da schon kreative Ideen wie man da den Apache schützen kann?
Ich finds ja toll, wenn Leute solche Möglichkeiten entdecken und publizieren, aber dann noch die Software zum Download anzubieten und die Script-Kiddies es zum probieren zu animieren lässt mir schon wieder den Hals anschwellen ...
HTTP DOS
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: HTTP DOS
Asynchrone Verarbeitungsmodelle lassen sich wohl nicht so einfach verarschen. Für den Apache httpd gäbe es da z. B. mpm_event. Desweiteren könnte ein geschickt gewähltes TimeOut zumindest die Wirksamkeit von slowloris einschränken.Raid wrote:Gibts da schon kreative Ideen wie man da den Apache schützen kann?
Der letzte Absatz der Golem-Meldung zeigt übrigens mal wieder eindrucksvoll, welche journalistische Qualitätstandards Golem offenbar pflegt...
Full Disclosure ist IMHO eine schöne Sache. So kannst du wenigstens testen, ob dein System betroffen ist.Raid wrote:Ich finds ja toll, wenn Leute solche Möglichkeiten entdecken und publizieren, aber dann noch die Software zum Download anzubieten und die Script-Kiddies es zum probieren zu animieren lässt mir schon wieder den Hals anschwellen ...
Der Vollständigkeit halber noch ein paar Verweise:
http://www.heise.de/security/Remote-Han ... ung/140678
http://ha.ckers.org/slowloris/
Re: HTTP DOS
Ich bin nur mal kurz über den Quellcode von diesem "neuen" Exploit gehuscht, aber meinte da nur kalten Kaffee drin zu sehen. Das man einen Apache (threaded oder preforked) einfach an die Grenze seiner maximalen Childs treibt, sollte ja bekannt sein. Mit dem Event-MPM bin ich nicht so vertraut, aber ich dachte, das würde auch nur die IDLE-Zeiten in einer Keepalive-Verbindung übernehmen oder ist es wirklich so, daß dort erst ein "vollständiger" Request eingesammelt wird bevor die Anfrage an einen Worker rausgegeben wird? Ansonsten habe ich nur mal beim Spielen festgestellt das nginx sich von laaaannnggsamen Requests nicht so einfach beeindrucken lässt.
Bei dieser Heise-News hatte ich eher gehofft mal etwas über diese TCP-Window (?) Attacke zu lesen, die auf dem CCC-Kongress vorgestellt wurde.
Bei dieser Heise-News hatte ich eher gehofft mal etwas über diese TCP-Window (?) Attacke zu lesen, die auf dem CCC-Kongress vorgestellt wurde.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: HTTP DOS
Kleiner Folgebeitrag vom ISC: http://isc.sans.org/diary.html?storyid=6613
In dem wird im wesentlichen auch nur das geraten, was hier bereits geschrieben wurde.
In dem wird im wesentlichen auch nur das geraten, was hier bereits geschrieben wurde.