Hi, -- Florian Weimer <fw@xxxxxxxxxxxxx> wrote: > Populär wurde diese Angriffsart das erste Mal durch ein Tool namens > NAPHTA, glaube ich. Keine Ahnung, ich hab mich auf jeden Fall gewundert, dass das nicht größer eingesetzt wird. > Und als Empfänger ähnlicher Angriffe kann ich > sagen: Es ist häßlich. ich hatte es ein paar mal zum Testen (ja, wirklich nur zum Testen) auf eigenen Maschinen probiert, und es ist fies. Man merkt erstmal rein gar nichts; der Webserver nimmt keine Verbindung mehr an, im Logfile steht nichts, und unter /server-status kann man auch nicht schauen, weil der Server nicht reagiert. Und es wird keine Load erzeugt. Auch andere Server wie Postfix und Sendmail kann man gut damit abschießen. > Mit simplen Rate Limits kommt man nicht > unbedingt weiter. Und bei HTTP hat man auch noch das Problem, das > legitime Verbindungen ziemlich kurzlebig sind und man sie mit hoher > Rate akzeptieren sollte -- sonst hat man den Dienst von sich aus > eingestellt. ja. > Eben. Die Faustregel ist, daß alles, was die Leitung nicht sättigt, > auf dem Zielsystem geregelt werden muß. Ggf. muß man das Zielsystem > eben von jemandem betreiben lassen, der mit so etwas Erfahrung hat. unter FreeBSD gibt es eine Kernel-Option "access-filter" und "access-filter-http" oder so; wenn man dann den Apache so baut, dass er das unterstützt (ist standardmäßig so), dann kommen HTTP-Requests erst beim Apache an, wenn der Request komplett ist (wahrscheinlich nicht bei Uploads, denke ich mal). Damit kriegt man den dann nicht mehr mit der Methode platt, da der Kernel die Zugriffe abfängt. Ciao Alvar -- ** Alvar C.H. Freude, http://alvar.a-blast.org/ ** http://www.wen-waehlen.de/ ** http://odem.org/ ** http://www.assoziations-blaster.de/
Attachment:
pgpO0XZAlx2iO.pgp
Description: PGP signature