時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
?? 【51CTO.com獨家翻譯】國外安全人員昨天發(fā)布了一個很有意思的HTTP Dos攻擊工具。這個工具能夠通過耗盡服務(wù)器的可用連接,對Apache(以及其它一些服務(wù)器,見下文)進行拒絕服務(wù)攻擊(Denial of Service attack)。雖然現(xiàn)在已經(jīng)有很多其它的Dos工具,但這個工具比較特殊,因為它會向服務(wù)器發(fā)送不完整的HTTP請求報文,讓HTTP連接一直處于開放狀態(tài)。
?? 在這種情況下,服務(wù)器只有打開連接并等待完整的報文送達。但結(jié)果是,客戶端(也就是這個Dos工具)根本不會把完整的報文信息發(fā)送過去,反而會繼續(xù)發(fā)送一些惡意構(gòu)造的報文行(bogus header line),使得這個連接不能被關(guān)閉。
?? 最開始發(fā)送的那部分HTTP請求是完全合法的:
?? GET / HTTP/1.1\r\nHost: host\r\nUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\nContent-Length: 42\r\n?
?? 在發(fā)送完這部分信息之后,客戶端將停等待一段時間。注意,作為一個合法的報文段,它還缺少一個回車換行來作為結(jié)束符?,F(xiàn)在這個工具所發(fā)送的偽造的報文行是:?
?? X-a: b\r\n?
?? 顯然,這一行報文沒有任何意義,服務(wù)器會忽略它并繼續(xù)等待。當然,如果你想創(chuàng)建一個入侵檢測系統(tǒng)(IDS)簽名的話,你也可以自己設(shè)置這一行的內(nèi)容。
?? 發(fā)布該工具的那個網(wǎng)站說,這個工具對Apache 1.x 和 Apache 2.x 版本以及Squid都有效。 而且,考慮到這個工具根本不需要發(fā)送大量數(shù)據(jù)包就可以耗盡服務(wù)器的連接數(shù),導致一個帶寬很小的用戶都可能對一臺高速服務(wù)器發(fā)起攻擊,這個工具的潛在威脅真是不容小視。所幸的是微軟IIS6.0 和 IIS7.0的用戶暫時還不受影響。
?? 目前,我還不知道在Apache的配置有沒有可以防止它攻擊的設(shè)置選項,增加MaxClients這一項的值只會增加攻擊的難度,但無法杜絕服務(wù)器被攻擊。不過我們的一位名叫Tomasz Miklas的讀者表示,他能通過在Apache服務(wù)器前增加一個反向代理解決這個問題。
?? 我們會密切關(guān)注這一點,還會在今后繼續(xù)發(fā)布相關(guān)的信息。我們很期待其它Web服務(wù)器以及負載均衡器(load balancers)將如何抵御這種攻擊。
關(guān)鍵詞標簽:Apache
相關(guān)閱讀
熱門文章 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負載均衡設(shè)置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量