Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Защита на Apache от Slowloris

January 25th, 2011 от singu

Slowloris атаката, за която съм споменавал, успяваше да спре всички версии на популярният web сървър Apache. Единствената защита беше да използва друг сървър ( напр. nginx ) или да се спретне по-сложна схема с прокси пред сървъра. Е, от известно време има разширение на mod_security, което може да спре Slowloris атака.

По своята същност Slowloris е атака срещу 7-ми слой на мрежовата инфраструктура или по-точно срещу самият web сървър. Тя не запълва канала с трафик, т.е. не е DoS атака, макар, че ефекта е подобен. Проблемът идва в начина по който Apache oбработва заявките и по-точно при отваряне на конекция, дори и да няма изпратен нито един байт, Apache чака да изтече таймаут, преди да затвори конекцията. Също така в зависимост от версията записва информация в лог-файловете. Проблемът идва от това, че опашката на конекциите е ограничен ресурс, който относително лесно може да бъде препълнен. Например ето така изглежда заявка съгласно HTTP RFC:

   1: Request       = Request-Line              ; Section 5.1

   2:                         *(( general-header        ; Section 4.5

   3:                          | request-header         ; Section 5.3

   4:                          | entity-header ) CRLF)  ; Section 7.1

   5:                         CRLF

   6:                         [ message-body ]          ; Section 4.3

Ако атакуващият не изпрати CRLF-а, който отбелязва края на заявката, Apache ще продължи да чака до изтичане на таймаут.

 

За защита от подобни атаки от версия ModSecurity 2.5.13 вече има включена директива SecReadStateLimit, която ограничава броя на конекциите в състояние SERVER_BUSY_STATE от даден IP адрес. При надхвърляне на този лимит сървъра ще върне грешка 400 Bad Request status code. Също така с цел защита от други разновидности на атаката е добавени директивата RequestReadTimeout.

Подобни статии:

  1. ModSecurity – защита на Apache
  2. Защита на отворени портове
  3. [DC17]“Отвличане” на Web 2.0 сайтове със SSLstrip и SlowLoris
  4. Нов тип DoS атака
  5. Защита срещу Firesheep

Изпрати по email Изпрати по email |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.