Názory k článku Útok Slowloris aneb plíživé nebezpečí pro web servery
-
There are a number of webservers that this doesn't affect as well, in my testing:
* IIS6.0
* IIS7.0
* lighttpd
* Squid
* nginx
* Cherokee (verified by user community)
* Netscaler
* Cisco CSS (verified by user community)(Zdroj: http://ha.ckers.org/slowloris/)
-
Palo M. (neregistrovaný)
A co ked niekto skombinuje Slowloris s DDoS? Teda z jednej IPcky otvori slowloris spojenie len jedno, ale pouzije sa viac pocitacov na utok? Tie moduly, co limituju pocet spojeni (alebo aj pravidlo v iptables) budu potom tiez neucinne (kedze limituju pocet spojeni len z jednej IP-adresy), nie?
- Nedalo by sa tiez nejako osetrit, aby dodatocny timeout bol na cele trvanie spojenia, nie na jedno poslanie dat (tj. ak jeden "zakaznik" trtosi s drobnymi pri pokladni prilis dlho, tak ho ochranka tiez vyvedie von)?
- Dalsia moznost by bola identifikovat utocnika slowloris a namiesto toho, aby ho to odmietlo (vtedy asi bude skusat znova a server zahlti tak ci tak), tak to spojenie nechat tak, ale skratka sa nim uz webserver nebude zaoberat (utocnik si bude mysliet, ako perfektne on odstavil server, lebo spojenie drzi donekonecna, ale server pritom funguje dalej). -
Přesně stejnou otázku jsem si položil taky - co DDoS?
Řešení, které mě napadlo, je jiné: sledovat počty otevřených spojení nejen per IP, ale i celkově. A po překročení hranice začít zavírat ty nejstarší. Tím se sníží riziko, že útok postihne regulérní spojení (regulérní spojení nebude půl hodiny).
Určitě je ale potřeba, aby po překročení nějaké délky spojení šel minimálně zápis do logu.
-
laoce (neregistrovaný)
hmm ..ak mam moznost otvorit 65535 sucastnych spojeni na server (dana IP a pocet portov -> pre tcp) tak mi staci mat 65535-1024 PCiek v botnete a mozem odpisat konkretnu verejnu IPcku ponukajucu nieco na porte 80. A ziadne PC v botnete si ani nevsimne ze robi nieco nekale (jedno otvorene spojenie ktore nevytazuje linku ani lokalny system) opravte ma ak sa mylim . dikes
-
Pletiplot (neregistrovaný)
To jsi vedle. Zdrojovy port muze byt stejny. Takze pokud je otevrene spojeni z ip A port x na server S port 80 (A:x ->S:80) a nekdo dalsi otevre spojeni ze stejneho portu ale jineho zdrojoveho IP (B:x -> S:80), tak to bude normalne fungovat. Principielne B ani nebuze vedet, ze A jede ze stejneho zdrojoveho portu.
-
Použil jsem originál Slowloris. Odkaz na domovskou stránku je v článku uveden.
-
boban (neregistrovaný)
Možnou ochranou apache je mod_qos:
http://opensource.adnovum.ch/mod_qos/
howto pro debian http://www.howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny -
motyq (neregistrovaný)
Mozna nez snazit se to nejak ohackovat na urovni apache, by bylo jednodussi prdnout pred nej nginx jako reverse/cache proxy.
Konfigurace je vcelku trivialni a uspech/vyreseni zarucen.
Nehlede na to, ze s nim ziskate mocny nastroj proti takovymto utokum, tak muzete i dost odlehcit apachi/cemukoliv za nim. -
P (neregistrovaný)
podarilo, pripadne RPMka i RPMS jsou tady:
ftp://ftp.monshouwer.eu/pub/linux/mod_antiloris/ -
Q (neregistrovaný)
A neni takhle nahodou ucinnym resenim modul mod_reqtimeout, ktery je od verze 2.2.15 soucasti instalace Apache?
http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout.htmlTim odpada nutnost instalace 3rd party modulu a navic tento modul resi kazde jednotlive spojeni a ne limit "per IP", takze by mel resit i v diskuzi zminovany problem DDoSu z vice IP.
(ja ten modul nezkousel, tak jestli si to nekdo otestujete, dejte vedet vysledek)
-
Ela (neregistrovaný)
JardaP.: +1
:D...jit delat do PR MS :D Mozna tam uz i dela a to jsem mu chtela odpoved jinak (@#$%^&*), ale nechci byt sprosta a vulgarni :D
Takze dik i za toho Cherokee :)P.S. Znam nekolik firem, co jedou na MS reseni a bohuzel musim rict, ze reseni typu MS a jejich uzivatele - plati tam vzajemna "interakce" jako kdyz se rika, ze po case se majitele psu, tedy jejich oblicej zacne podobat na oblicej psa (mysleno v dobrem), tak u tehle firem, ktere jedou na M$, take plati interakce - "leva ruka nevi co dela prava", uzivatele se postupne nestavaji moudrejsimi, ale spis hloupnou, diky priblblemu reseni M$ (a take asi proto, ze nejsou vedeni k tomu, aby vice pouzivali mozek... Bohuzel, at to pro nekoho zni jako flame nebo ne :p), ale ty uzivatele vetsinou skutecne nevi si spustit ani ten word, pokud nemaji jeho shortcut na plose :O
A to mohu vyjmenovat celkem vsem dobre zname "spolecnosti", dokonce typu 'a.s.' v Praze, o 's.r.o.'-ckach ani nemluve... :O
Takze co pak muzete cekat...
-
asdfasdf (neregistrovaný)
Co cekat od tebe(zenske) kdyz generalizujes a prezentujes se jako fanaticka .
Ja znam mnoho firem co maji mnohamilionove obraty a frci si na reseni od MS a nestezuji si , proste ty produkty pouzivaji tam kde to potrebuji a hodi se to . Do takovych firem potom nasazujeme nektera linuxova reseni a jsou spokojeni jak obe platformy se vyborne doplnuji a spolupracuji .
Mam pocit , ze vymezovani se vuci lin/win delaji jen ti co maji prd na praci , ostatni pracuji s obema platformami . Ano tady na rootu to asi bude mensinovy nazor .
Mimochodem , vis, ze dispecersky SW zachranek, hasicu , bezi povetsinou na reseni od MS ??
To aby si linufanatici udelali alternativni IZS ze ? :)))
-
Ela (neregistrovaný)
: Co cekat od tebe(zenske) kdyz generalizujes a prezentujes se jako fanaticka .
Pokud jsem ja fanaticka, ty jses uplny bl... Ale jo, mas pravo na nazor, jako kazdy... ^^
A negeneralizuji - pouze rikam sve zkusenosti, kdyz chodim do firem a ziram, jak ty chudinky casto neumi ani to, co jsem jiz psala...Linux uzivatele vetsinou 'musi' o trochu vic premyslet, mozna i proto maji tendenci na sobe vic pracovat ;-)
: Ja znam mnoho firem co maji mnohamilionove obraty a frci si na reseni od MS a nestezuji si , proste ty produkty pouzivaji tam kde to potrebuji a hodi se to.
S tim souhlasim, ale to nevylucuje, co jsem psala. A kdyz prosperuji, to jen diky tem, kteri s tema M$ umi delat vic nez BFU, vetsinou jsou to chudaci admini, kteri si nekdy rvou vlasy, diky BFU na M$ :D
: ...ostatni pracuji s obema platformami....
Ja nastesti uz 'nemusim' delat s M$, ale znam obe platformy dost dobre... ;)
: Mimochodem , vis, ze dispecersky SW zachranek, hasicu , bezi povetsinou na reseni od MS ??
Tak to jim uprimne preji, at jejich zasluznou a dulezitou praci nezkazi M$ reseni, protoze na M$ platformach si kazdy koleduje o prusvih...
: To aby si linufanatici udelali alternativni IZS ze ? :)))
Nevim o cem placas, uz jen tva predstava o linuxfanaticich mluvi o tobe, co jsi zac... ^^
-
HudsonStan (neregistrovaný)
"Mimochodem , vis, ze dispecersky SW zachranek, hasicu , bezi povetsinou na reseni od MS ??"
Také by vám mohli vyprávět o problémech co s tím mají. Věřte, že by to bylo na dlouhé zimní večery. Není to tak dlouho co některé části systému vyžadovaly použití IE jako klienta. -
Blby OS ale najdete hlavne na strojich s Widlemi. Po XP je to uz tragedie. System naladovany hovadinami, jako snizovani kvality obrazu, pokud neni vystup posilan chranenym kanalem a dalsi kraviny. Presne to, co uzivatel potrebuje na to, aby jeho system byl stabilni a rychly, neni-liz pravda? Uz aby Cray dal do placu nejaky supravodivy desktop, jestli ta firma jeste existuje. Dnesni PC ty Widle uz pomalu nezvladaji. MS vyviji cim dal tim vic pro HW budoucnosti.
-
Johny (neregistrovaný)
> proste ty produkty pouzivaji tam kde to potrebuji a hodi se to
Já teda nepovažuji webserver za místo, kam se hodí MS server.> Ja znam mnoho firem co maji mnohamilionove obraty a frci si na reseni od MS a nestezuji si
Ja znam mnoho firem co maji mnohamilionove obraty a frci si na Linuxu/BSD a nestezuji si
Mimochodem , vis, ze Google, Seznam, Yahoo atp. bezi na Linuxu ??
ČLÁNKY DO MAILU