Apache DoSツールの対処など
濁った頭を、コーヒーでごまかしています
--------------
Apache 攻撃ツール公開
Apache HTTP DoS tool released -- 2009-06-18
According to the web site where the tool was posted, Apache 1.x and 2.x are affected as well as Squid, so the potential impact of this tool could be quite high considering that it doesn't need to send a lot of traffic to exhaust available connections on a server (meaning, even a user on a slower line could possibly attack a fast server). Good news for Microsoft users is that IIS 6.0 or 7.0 are not affected.
攻撃を受けると、reading requestでプロセスがハングアップ状態になってしまい、攻撃側が中断しても処理待ちで waiting queue を消費し尽くすまで無応答に近い状況になります。
Apacheもそうですが、Squid Proxyを運用している所も影響を受ける可能性があります(攻撃されたら)
X-a: b\r\n
を大量に検知した場合は IDS でブロックするルールを設定したほうがいいのかなぁ・・いろいろ調査してみましたが、コレダ!という対処が無い模様。
Apache HTTP DoS tool mitigation
SANSも、これらの緩和策をとる前に、運用中のサーバの稼動状況や稼動モジュールを熟慮した上で行うようにと警告しています。
TimeOut ディレクティブ
I did some testing with lowering this value down to 5 seconds – this might be too low because some slow clients will not be able to get the web page so don't blindly put this in your configuration files.
斜訳:
デフォルトのTimeOutは300秒-5分です。これはDoSツールが(POST/GET)コネクションヘッダを送ってから、5分間キープできることを意味します。デフォルト値の 256 セッションを食い尽くすのにはきわめて簡単です。私は色々試してみた後、TimeOutを 5 sec に変更してみました。この数値はきわめて小さいものであり、低速の回線から接続しているユーザは、処理が完遂するまえにタイムアウトしてしまうことになりかねません。
とりあえず、この(DoS)ツールで攻撃を仕掛けるApacheサーバに 4sec のタイムアウトを設定し様子を見ましたが、それは正しく緩和できているように見受けられました。ただ、このツールは、より余計なトラフィックを発生させます。私の実験では、5sec タイムアウトによるApache環境下で、2MB/min (= ~45 kb/sec) のトラフィック以上になると危険水域に達するようです。
また、mod_limitipconnを使用して、同時接続数を制限する方法も有効です。
いずれにせよ、DDoSにならない限り、単独IP(もしくはProxy経由)ですので、攻撃を受けてから考えるようにしてもよいかもしれません。
Apacheに新たな脆弱性発見
mod_limitipconnによる接続数制限
-----------
Slowloris and Iranian DDoS attacks
例のイランのWebサーバ攻撃にも使われてるっぽいですね
----------
EoF