Salut,
Dire que apache est vulnerable mais pas d'autre serveur, c'est une
simplification grossiere. La configuration par default d'apache des
distributions standard est peut-etre plus sensible a ce probleme du a
son modele pre-fork mais le probleme est le meme pour tout les
serveurs de ce type. keepalive rend le web plus sensible au probleme
c'est tout. Les postmasters ont le meme probleme avec qmail ou postfix.
En regardant, les options par default sur une de mes machines: Timeout
and KeepAliveTimeout sont tres hautes mais valable pour un petit site
a la fin d'une connection lente. C'est surement pour ca que apache est
plus vulnerable, changez ces valeurs et ca devrait bcp aider (et les
options du module prefork si vous avez assez de RAM)
Donc, oui les script-kiddies vont s'amuser quelques mois avant que les
hostmasters changent leur configurations, ca va faire chier le monde
maintenant que l'outil facile a utiliser est la. Rien de neuf - a part
un peu de pub pour lighttpd et nginx (que j'aime bcp).
Regards,
Thomas Mangin
Technical Director
--
Exa Networks Limited - http://www.exa-networks.co.uk/
Company No. 04922037 - VAT no. 829 1565 09
27-29 Mill Field Road, BD16 1PY, UK
Phone: +44 (0) 845 145 1234 - Fax: +44 (0) 1274 567646
On 22 Jun 2009, at 13:45, Xavier Nicollet wrote:
Le 22 juin 2009 à 13:10, jul a écrit:
En réaction à la publication par rsnake d'un outil pour faire du
DoS sur
Apache en quelques paquets [1], je souhaitais savoir si des
vérifications/mesures particulières ont été prises par les
opérateurs/hébergeurs ?
[...]
[1]
http://ha.ckers.org/blog/20090617/slowloris-http-dos/
Lu le lien un peu rapidement, donc désolé si j'ai pris des raccourcis.
"""
Then I randomly started thinking about the way Apache works and
figured
out that it may be possible to create something similar to a SYN
flood,
but in HTTP.
"""
KeepAlive Off
devrait pas mal aider.
Une bonne partie des utilisateurs d'apache utilise ce paramètre.
Don't worry.
Ce n'est pas une "faille" bien nouvelle.
--
Xavier Nicollet
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/