Le Wed, 24 Jun 2009 00:26:56 +0200, Clément Lavoillotte <clement.lavoillo...@free.fr> a écrit :
> > Faut plutôt jouer avec TimeOut pour disons limiter la casse par les > > scripts kiddies ... plus globalement il faut juste mettre des > > timeout décent sur les sessions TCP. > > > > a +. > > L'outil envoyant des "bouts" de header HTTP de temps à autre pour > garder la connexion active, il faudrait soit empêcher les longues > requêtes (longues en terme de temps), et si possible pas les longues > réponses (du moins au niveau firewall, sinon le client > MassDownloadator 2.7 mal fait va pas aimer). L'idéal serait d'avoir l'équivalent des SYN cookies sur les requêtes HTTP ... ou l'équivalent du mécanisme SACK sur TCP. > > Réduire le TimeOut peut effectivement aider, mais peut être embêtant > (dixit le manuel du parfait petit indien) car elle ne concerne pas > que le temps de réception de la requête et que le chronométreur de > paquets s'emmêle les plumes. > De plus, j'ai fait un essai avec un apache 1.3 en me connectant en > telnet, tant que j'envoie un header par minute il continue à > attendre au-delà du temps spécifié dans cette directive (240 en > l'occurence), et j'ai quand même une réponse polie à la fin. A voir > si ça le fait aussi avec la version custom d'openbsd ? Bonne question, faudrait que je mette à jour ma VM d'openbsd et que je fasse un test. > En attendant une directive spécifique RequestTimeOut (dont il faudra > user avec prudence pour les uploads), on peut limiter le nombre de > requêtes venant d'une même ip au niveau du firewall (ce que l'outil > d'attaque contournera dans la v2 avec la possibilité d'utiliser une > liste de proxy socks), et éventuellement leur durée (avec tout ce > que ça implique pour les téléchargements, le keep-alive, etc). > Ou utiliser une autre version d'apache / un autre serveur web > "moins" vulnérable, en remplacement ou en reverse proxy. fail2ban en local peut aussi aider à faire du rate limiting de requête HTTP depuis une IP mais le polling des events depuis le fichier de logs est un mécanisme un peu rustique ... a +. -- Jérôme Benoit aka fraggle La Météo du Net - http://grenouille.com OpenPGP Key ID : 9FE9161D Key fingerprint : 9CA4 0249 AF57 A35B 34B3 AC15 FAA0 CB50 9FE9 161D
pgp1u90Bs6L1j.pgp
Description: PGP signature
