DJ PhoeniX
29.08.2011, 01:00
На хабре было выложено описание проблемы, связанной с уязвимостью Apache (и, я думаю, других серверов - они все сделаны по одному стандарту).
Статья (https://hpc.name/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Finfosecurity%2F127029%2F), и продолжение (https://hpc.name/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Finfosecurity%2F127199%2F).
В двух словах:
Apache выдаёт все статические данные (картинки, тексты, скрипты) с возможностью докачки, что осуществляется посредством заголовка Range. Если указать для этого заголовка не одно значение, а штук 10, то в память загрузится, соответственно, 10 экземпляров файла. Таким образом можно отправить сервер в глубокую задумчивость, не используя ботнет-сеть, а используя ресурсы 1-2 компьютеров. А что бы ещё больше разгрузить свой интернет-канал, можно использовать не GET, а HEAD метод.
Защита:
В настройках Apache можно выставить ограничение на количество диапазонов Range. Что именно надо дописать в httpd.conf (apache.conf на некоторых системах) - в этом комментарие (https://hpc.name/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Finfosecurity%2F127199%2F%23comment_4198316).
Статья (https://hpc.name/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Finfosecurity%2F127029%2F), и продолжение (https://hpc.name/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Finfosecurity%2F127199%2F).
В двух словах:
Apache выдаёт все статические данные (картинки, тексты, скрипты) с возможностью докачки, что осуществляется посредством заголовка Range. Если указать для этого заголовка не одно значение, а штук 10, то в память загрузится, соответственно, 10 экземпляров файла. Таким образом можно отправить сервер в глубокую задумчивость, не используя ботнет-сеть, а используя ресурсы 1-2 компьютеров. А что бы ещё больше разгрузить свой интернет-канал, можно использовать не GET, а HEAD метод.
Защита:
В настройках Apache можно выставить ограничение на количество диапазонов Range. Что именно надо дописать в httpd.conf (apache.conf на некоторых системах) - в этом комментарие (https://hpc.name/redirector.php?url=http%3A%2F%2Fhabrahabr.ru%2Fblo gs%2Finfosecurity%2F127199%2F%23comment_4198316).