ぱぱネット(仮)
2011-08-26 絶賛死亡中 [長年日記]
_ [Linux] Apache Killer
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定...
未だにこんな脆弱性が残ってるのね。 Advisoryを読む限り、Rengeヘッダを単に無視してしまう方法が簡単かつ安全な対策に思えます。
_ [Linux] Rengeヘッダとは
例えば1MBのファイルをサーバーからダウンロード中に、 ブチ切れたとする。手元のファイルは500KBしかないが、頭から ダウンロードするのタルい。後半500KBだけ欲しい。 いわゆるレジューム動作をするときにRengeヘッダはよく使われます。
あとVODだね。HTTP Streamingはほぼ間違いなくRangeを使う。
意外なところで、多くの2ちゃんねるビューワーは、DATファイル(掲示板のスレファイル)を取得するのにRengeヘッダを使います。 最大でも500KB(だっけ?)なんだから全部ダウンロードすれば いいじゃないか、と思うのだがサーバ側の負荷対策らしいね。 なるほど影響を受けるわけだ....
いいかえると、それ以外のサービスを提供している「ふつーの」 WebサーバはRangeは無視してかまわないってことですな(断言していいのか、という懸念はあるが)
_ [Linux] Debianで簡単な対策
mod_headersを有効にする。
# a2enmod headers
/etc/apache2/mods-enabled/headers.confを作成(1行だけ)
RequestHeader unset Range
Apache2を再起動する。
# /etc/init.d/apache2 restart
以上。巷に出回ってる攻撃ツールのひとつ、killapache.plは「Host does not seem vulnerable」って言って瞬間に諦めるようになった(笑)
_ [Linux] ついでにDebianでmod-evasive
同時並列に大量のアクセスが同一IPアドレスからあると、 一定時間アクセスをカットしてくれる、 そんな便利なモジュールmod-evasiveがある。 Range攻撃の抑止を行っても、大量アクセスで落ちたら話にならんので、入れていなければ入れておこう。
aptを使ってパッケージを入れよう。
# apt-get install libapache2-mod-evasive
モジュールを有効化。
# a2enmod mod-evasive
/etc/apache2/mods-enabled/mod-evasive.confを作成。
DOSHashTableSize 3097 DOSPageCount 50 DOSSiteCount 280 DOSPageInterval 2 DOSSiteInterval 2 DOSBLockingPeriod 300
よほどの大規模サイトでない限り、この設定のままでかまわない。
Apache2を再起動する。
# /etc/init.d/apache2 restart
以上。
![[BANNER]](http://linux.papa.to/image/banner.png)
このサーバーをもう12年も維持しているかと思うとめまいがしますよ。
ツッコミ機能は、ハンドル名が完全日本語じゃないと登録できません。
また、本文にURLが含まれていても登録できません。
いずれもSPAM対策です。
![[Panda Papanda]](http://linux.papa.to/image/panda.jpg)
|
![[Papanda]](http://linux.papa.to/ico/panda_icon.png){kind=icon}
![[Kuma]](http://linux.papa.to/ico/kuma_icon.png){kind=icon}
![[Tomorin]](http://linux.papa.to/ico/tomorin_icon.png){kind=icon}
![[Iron]](http://linux.papa.to/ico/iron_icon.png){kind=icon}
![[Eiza]](http://linux.papa.to/ico/eiza_icon.png){kind=icon}
![[Dokkin]](http://linux.papa.to/ico/dl_icon.png){kind=icon}
![[Honya]](http://linux.papa.to/ico/tani_icon.png){kind=icon}
![[Zyou]](http://linux.papa.to/ico/zyou_icon.png){kind=icon}
![[Tsuyo]](http://linux.papa.to/ico/ty_icon.png){kind=icon}
![[Bike]](http://linux.papa.to/ico/toga_icon.png){kind=icon}
![[KoeBBS]](http://linux.papa.to/ico/bbs_icon.png){kind=icon}
![[Chukei]](http://linux.papa.to/ico/bbs2_icon.png){kind=icon}
![[portal]](http://linux.papa.to/ico/rss_icon.png){kind=icon}
![[tvmatome]](http://linux.papa.to/ico/tvmatome_icon.png){kind=icon}
![[KaoPaku]](http://linux.papa.to/ico/kao_icon.png){kind=icon}
訪問者数:(+2560143)
- 2011-08-30
- またバージョンアップ
- WindowsのCGIが死ぬほど遅い
- さらに調べると....
- 2011-08-28
- 産まれて初めて
- 前置きが長いよ
- ブサオタは情報収集だ
- 突撃
- カウンセリング
- カット
- カラー
- ブローとセット
- そして次の日起きて
- 2011-08-27
- TSダウンロード
- ロール作成
- 全体の構造
- 憶測&推測
- 2011-08-26
- Apache Killer
- Rengeヘッダとは
- Debianで簡単な対策
- ついでにDebianでmod-evasive
- 2011-08-25
- ワンセグ野郎Linux SQLite3版
- TVRoll拡張レコーダ設定
- 要するに...
- 2011-08-24
- TokyoTyrantとEPGサーバ
- ソースから全てインストール
- Perlでラッパーを書く
- postconf.pl
- post2conf.pl
- この連載長くなる予感
- 2011-08-13
- 八景島シーパラダイス
- 夜は花火
- 帰りはファミレスかごの屋
- 2011-08-12
- モチベーションが続かない
- チュートリアル
- 【1】EPGデータベースの改良
- 【2】perlrtmpの改良
- 【3】GUIからの分離
- 疲れた
- 2011-08-09
- さくらのVPS512に乗り換えました
- tDiaryのメジャーバージョンがあがりました
- データも全て移行したわけではないです
- amazon.rbが腐っている
Your goal is to breed all the different dragons available to you and enter combat against other player's dragons. deagdckegdek
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!
Very nice site!