<<< Date Index >>>     <<< Thread Index >>>

Re: [OT] Probleme im 1.3er Apache? War: Re: Nazi-Online-Demonstration ... verhindern?



Hi,

-- Florian Weimer <fw@xxxxxxxxxxxxx> wrote:

> Populär wurde diese Angriffsart das erste Mal durch ein Tool namens
> NAPHTA, glaube ich. 

Keine Ahnung, ich hab mich auf jeden Fall gewundert, dass das nicht
größer eingesetzt wird.


> Und als Empfänger ähnlicher Angriffe kann ich
> sagen: Es ist häßlich. 

ich hatte es ein paar mal zum Testen (ja, wirklich nur zum Testen) auf
eigenen Maschinen probiert, und es ist fies. Man merkt erstmal rein gar
nichts; der Webserver nimmt keine Verbindung mehr an, im Logfile steht
nichts, und unter /server-status kann man auch nicht schauen, weil der
Server nicht reagiert. Und es wird keine Load erzeugt.

Auch andere Server wie Postfix und Sendmail kann man gut damit abschießen.


> Mit simplen Rate Limits kommt man nicht
> unbedingt weiter. Und bei HTTP hat man auch noch das Problem, das
> legitime Verbindungen ziemlich kurzlebig sind und man sie mit hoher
> Rate akzeptieren sollte -- sonst hat man den Dienst von sich aus
> eingestellt.

ja.


> Eben. Die Faustregel ist, daß alles, was die Leitung nicht sättigt,
> auf dem Zielsystem geregelt werden muß. Ggf. muß man das Zielsystem
> eben von jemandem betreiben lassen, der mit so etwas Erfahrung hat.

unter FreeBSD gibt es eine Kernel-Option "access-filter" und
"access-filter-http" oder so; wenn man dann den Apache so baut, dass er das
unterstützt (ist standardmäßig so), dann kommen HTTP-Requests erst beim
Apache an, wenn der Request komplett ist (wahrscheinlich nicht bei Uploads,
denke ich mal).

Damit kriegt man den dann nicht mehr mit der Methode platt, da der Kernel
die Zugriffe abfängt.


Ciao
  Alvar


-- 
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.wen-waehlen.de/
** http://odem.org/
** http://www.assoziations-blaster.de/

Attachment: pgpO0XZAlx2iO.pgp
Description: PGP signature