最新情報をお届けします。
Apacheで超強力なDos攻撃ができるApache Killerというのが
出回っているそうです。
最近では、2chのサーバに試しにかけてみたら、
サーバがダウンしたとか。
ソースが落ちていたので、ここから拾ってみました。
で、自分のサーバにテストしてみたら、
Host does not seem vulnerable
だそうで、結果が出ませんでした。
tcpdumpで見たところ、
HEAD./.HTTP/1.1..Host:.xxx.xxx.xxx.xxx..Range:bytes=0-..Accept- Encoding:.gzip
なんて送っているので、gzip圧縮を有効にしたんですけど駄目でした。
なお、Apache2.2.20で対策されたそうです。
そうでない場合は、httpd.confに
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range
を付け加えればいいかと。
だれか、自分のサーバで試してみてほしいな。
-------------------------------------
Apacheで超強力なDos攻撃ができるApache Killerというのが
出回っているそうです。
最近では、2chのサーバに試しにかけてみたら、
サーバがダウンしたとか。
ソースが落ちていたので、ここから拾ってみました。
で、自分のサーバにテストしてみたら、
Host does not seem vulnerable
だそうで、結果が出ませんでした。
tcpdumpで見たところ、
HEAD./.HTTP/1.1..Host:.xxx.xxx.xxx.xxx..Range:bytes=0-..Accept- Encoding:.gzip
なんて送っているので、gzip圧縮を有効にしたんですけど駄目でした。
なお、Apache2.2.20で対策されたそうです。
そうでない場合は、httpd.confに
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
RequestHeader unset Request-Range
を付け加えればいいかと。
だれか、自分のサーバで試してみてほしいな。
-------------------------------------