Názory k článku
Útok Slowloris aneb plíživé nebezpečí pro web servery

Zajimavy clanek s cool polopatistickym prikladem, woco-vlastne-go :D :D

A co Cherokee server, je na tom jako Apache nebo jako lighttpd?

A co ked niekto skombinuje Slowloris s DDoS? Teda z jednej IPcky otvori slowloris spojenie len jedno, ale pouzije sa viac pocitacov na utok? Tie moduly, co limituju pocet spojeni (alebo aj pravidlo v iptables) budu potom tiez neucinne (kedze limituju pocet spojeni len z jednej IP-adresy), nie?
- Nedalo by sa tiez nejako osetrit, aby dodatocny timeout bol na cele trvanie spojenia, nie na jedno poslanie dat (tj. ak jeden "zakaznik" trtosi s drobnymi pri pokladni prilis dlho, tak ho ochranka tiez vyvedie von)?
- Dalsia moznost by bola identifikovat utocnika slowloris a namiesto toho, aby ho to odmietlo (vtedy asi bude skusat znova a server zahlti tak ci tak), tak to spojenie nechat tak, ale skratka sa nim uz webserver nebude zaoberat (utocnik si bude mysliet, ako perfektne on odstavil server, lebo spojenie drzi donekonecna, ale server pritom funguje dalej).

Přesně stejnou otázku jsem si položil taky - co DDoS?

Řešení, které mě napadlo, je jiné: sledovat počty otevřených spojení nejen per IP, ale i celkově. A po překročení hranice začít zavírat ty nejstarší. Tím se sníží riziko, že útok postihne regulérní spojení (regulérní spojení nebude půl hodiny).

Určitě je ale potřeba, aby po překročení nějaké délky spojení šel minimálně zápis do logu.

Existuje (pred cca 5ti lety existoval) patch pro Apache, ktery dovolil v httpd.conf nastavit timeout, ktery nekompromisne utnul spojeni, pokud client nedokoncil posilani hlavicek do xxx sekund. Fungovalo to nezvadne

hmm ..ak mam moznost otvorit 65535 sucastnych spojeni na server (dana IP a pocet portov -> pre tcp) tak mi staci mat 65535-1024 PCiek v botnete a mozem odpisat konkretnu verejnu IPcku ponukajucu nieco na porte 80. A ziadne PC v botnete si ani nevsimne ze robi nieco nekale (jedno otvorene spojenie ktore nevytazuje linku ani lokalny system) opravte ma ak sa mylim . dikes

Není tomu tak -- i v případě 65535 TCP spojení bude server využívat pouze jeden port (80). Co je v takovém případě omezující, je počet socketů (který může být nižší i vyšší než 65535).

Hm.. skript vytvoreny (resp posledne updatovany) v 2009 a ja o tomto prvy krat pocujem az teraz.
Co branilo rozsireniu (ved apache je hadam na 50 percentach webserverov) a naslednej zaplate pre apache?
Keby sa utoky rozsirily, tak sa zaplata objavi urcite rychlo.

je přejít na IIS

JardaP.: +1
:D

...jit delat do PR MS :D Mozna tam uz i dela a to jsem mu chtela odpoved jinak (@#$%^&*), ale nechci byt sprosta a vulgarni :D
Takze dik i za toho Cherokee :)

P.S. Znam nekolik firem, co jedou na MS reseni a bohuzel musim rict, ze reseni typu MS a jejich uzivatele - plati tam vzajemna "interakce" jako kdyz se rika, ze po case se majitele psu, tedy jejich oblicej zacne podobat na oblicej psa (mysleno v dobrem), tak u tehle firem, ktere jedou na M$, take plati interakce - "leva ruka nevi co dela prava", uzivatele se postupne nestavaji moudrejsimi, ale spis hloupnou, diky priblblemu reseni M$ (a take asi proto, ze nejsou vedeni k tomu, aby vice pouzivali mozek... Bohuzel, at to pro nekoho zni jako flame nebo ne :p), ale ty uzivatele vetsinou skutecne nevi si spustit ani ten word, pokud nemaji jeho shortcut na plose :O

A to mohu vyjmenovat celkem vsem dobre zname "spolecnosti", dokonce typu 'a.s.' v Praze, o 's.r.o.'-ckach ani nemluve... :O

Takze co pak muzete cekat...

Co cekat od tebe(zenske) kdyz generalizujes a prezentujes se jako fanaticka .

Ja znam mnoho firem co maji mnohamilionove obraty a frci si na reseni od MS a nestezuji si , proste ty produkty pouzivaji tam kde to potrebuji a hodi se to . Do takovych firem potom nasazujeme nektera linuxova reseni a jsou spokojeni jak obe platformy se vyborne doplnuji a spolupracuji .

Mam pocit , ze vymezovani se vuci lin/win delaji jen ti co maji prd na praci , ostatni pracuji s obema platformami . Ano tady na rootu to asi bude mensinovy nazor .

Mimochodem , vis, ze dispecersky SW zachranek, hasicu , bezi povetsinou na reseni od MS ??

To aby si linufanatici udelali alternativni IZS ze ? :)))

: Co cekat od tebe(zenske) kdyz generalizujes a prezentujes se jako fanaticka .

Pokud jsem ja fanaticka, ty jses uplny bl... Ale jo, mas pravo na nazor, jako kazdy... ^^
A negeneralizuji - pouze rikam sve zkusenosti, kdyz chodim do firem a ziram, jak ty chudinky casto neumi ani to, co jsem jiz psala...

Linux uzivatele vetsinou 'musi' o trochu vic premyslet, mozna i proto maji tendenci na sobe vic pracovat ;-)

: Ja znam mnoho firem co maji mnohamilionove obraty a frci si na reseni od MS a nestezuji si , proste ty produkty pouzivaji tam kde to potrebuji a hodi se to.

S tim souhlasim, ale to nevylucuje, co jsem psala. A kdyz prosperuji, to jen diky tem, kteri s tema M$ umi delat vic nez BFU, vetsinou jsou to chudaci admini, kteri si nekdy rvou vlasy, diky BFU na M$ :D

: ...ostatni pracuji s obema platformami....

Ja nastesti uz 'nemusim' delat s M$, ale znam obe platformy dost dobre... ;)

: Mimochodem , vis, ze dispecersky SW zachranek, hasicu , bezi povetsinou na reseni od MS ??

Tak to jim uprimne preji, at jejich zasluznou a dulezitou praci nezkazi M$ reseni, protoze na M$ platformach si kazdy koleduje o prusvih...

: To aby si linufanatici udelali alternativni IZS ze ? :)))

Nevim o cem placas, uz jen tva predstava o linuxfanaticich mluvi o tobe, co jsi zac... ^^

"Mimochodem , vis, ze dispecersky SW zachranek, hasicu , bezi povetsinou na reseni od MS ??"
Také by vám mohli vyprávět o problémech co s tím mají. Věřte, že by to bylo na dlouhé zimní večery. Není to tak dlouho co některé části systému vyžadovaly použití IE jako klienta.

Pokud mate blbe udelany software, tak je to ve vetsine pripadu chyba autoru toho sw a ne OS. Blby sw se da najit na vsech platformach.

Blby OS ale najdete hlavne na strojich s Widlemi. Po XP je to uz tragedie. System naladovany hovadinami, jako snizovani kvality obrazu, pokud neni vystup posilan chranenym kanalem a dalsi kraviny. Presne to, co uzivatel potrebuje na to, aby jeho system byl stabilni a rychly, neni-liz pravda? Uz aby Cray dal do placu nejaky supravodivy desktop, jestli ta firma jeste existuje. Dnesni PC ty Widle uz pomalu nezvladaji. MS vyviji cim dal tim vic pro HW budoucnosti.

> Co cekat od tebe(zenske)....

Hele a uz ti nejaka dala?

Rikam si, ze jestli casem zacnu pripominat tucnaka, budu na tom furt lip, nez kdybych pripominal pokroucene, barevne okno. I kdyz zenske asi leti vic na certy, nez na tucnaky.

V článku je psáno, že nginx není ohrožen. A v diskusi je to také zmíněno z reálného testu. ;-)