Re: [FRnOG] Apache DoS tool impacts ?

Mon, 22 Jun 2009 06:24:02 -0700 

Salut,
Dire que apache est vulnerable mais pas d'autre serveur, c'est une simplification grossiere. La configuration par default d'apache des distributions standard est peut-etre plus sensible a ce probleme du a son modele pre-fork mais le probleme est le meme pour tout les serveurs de ce type. keepalive rend le web plus sensible au probleme c'est tout. Les postmasters ont le meme probleme avec qmail ou postfix. 


En regardant, les options par default sur une de mes machines: Timeout  
and KeepAliveTimeout sont tres hautes mais valable pour un petit site  
a la fin d'une connection lente. C'est surement pour ca que apache est  
plus vulnerable, changez ces valeurs et ca devrait bcp aider (et les  
options du module prefork si vous avez assez de RAM)



Donc, oui les script-kiddies vont s'amuser quelques mois avant que les  
hostmasters changent leur configurations, ca va faire chier le monde  
maintenant que l'outil facile a utiliser est la. Rien de neuf - a part  
un peu de pub pour lighttpd et nginx (que j'aime bcp).


Regards,

Thomas Mangin
Technical Director
--
Exa Networks Limited - http://www.exa-networks.co.uk/
Company No. 04922037 - VAT no. 829 1565 09
27-29 Mill Field Road, BD16 1PY, UK
Phone: +44 (0) 845 145 1234 - Fax: +44 (0) 1274 567646

On 22 Jun 2009, at 13:45, Xavier Nicollet wrote:


Le 22 juin 2009 à 13:10, jul a écrit:

En réaction à la publication par rsnake d'un outil pour faire du  
DoS sur

Apache en quelques paquets [1], je souhaitais savoir si des
vérifications/mesures particulières ont été prises par les
opérateurs/hébergeurs ?



[...]



[1]
http://ha.ckers.org/blog/20090617/slowloris-http-dos/


Lu le lien un peu rapidement, donc désolé si j'ai pris des raccourcis.

"""

Then I randomly started thinking about the way Apache works and  
figured
out that it may be possible to create something similar to a SYN  
flood,

but in HTTP.
"""

KeepAlive Off
devrait pas mal aider.

Une bonne partie des utilisateurs d'apache utilise ce paramètre.
Don't worry.

Ce n'est pas une "faille" bien nouvelle.

--
Xavier Nicollet
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/



---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/























					Répondre à