Le 22 juin 09 à 21:27, Jerome Benoit a écrit :
Le Mon, 22 Jun 2009 15:51:12 +0200,
Xavier Nicollet <nicol...@jeru.org> a écrit :
Le 22 juin 2009 à 14:58, Jean-Francois Cousi a écrit:
KeepAlive Off
devrait pas mal aider.
Une bonne partie des utilisateurs d'apache utilise ce paramètre.
Don't worry.
Ce n'est pas une "faille" bien nouvelle.
KeepAlive Off ou On ne suffit pas à bloquer le flood.
Effectivement.
Mea-culpa pour cette erreur.
Faut plutôt jouer avec TimeOut pour disons limiter la casse par les
scripts kiddies ... plus globalement il faut juste mettre des timeout
décent sur les sessions TCP.
a +.
L'outil envoyant des "bouts" de header HTTP de temps à autre pour
garder la connexion active, il faudrait soit empêcher les longues
requêtes (longues en terme de temps), et si possible pas les longues
réponses (du moins au niveau firewall, sinon le client
MassDownloadator 2.7 mal fait va pas aimer).
Réduire le TimeOut peut effectivement aider, mais peut être embêtant
(dixit le manuel du parfait petit indien) car elle ne concerne pas que
le temps de réception de la requête et que le chronométreur de paquets
s'emmêle les plumes.
De plus, j'ai fait un essai avec un apache 1.3 en me connectant en
telnet, tant que j'envoie un header par minute il continue à attendre
au-delà du temps spécifié dans cette directive (240 en l'occurence),
et j'ai quand même une réponse polie à la fin. A voir si ça le fait
aussi avec la version custom d'openbsd ?
En attendant une directive spécifique RequestTimeOut (dont il faudra
user avec prudence pour les uploads), on peut limiter le nombre de
requêtes venant d'une même ip au niveau du firewall (ce que l'outil
d'attaque contournera dans la v2 avec la possibilité d'utiliser une
liste de proxy socks), et éventuellement leur durée (avec tout ce que
ça implique pour les téléchargements, le keep-alive, etc).
Ou utiliser une autre version d'apache / un autre serveur web "moins"
vulnérable, en remplacement ou en reverse proxy.
Et bien sûr tout ça ne bloquera pas le même outil en version
distribuée sur pc zombie...
Clément---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
