11 月 19 - 20 日 Apache Pulsar 社区年度盛会来啦,立即报名! 了解详情
写点什么

“Apache 杀手”一种利用 Range HTTP 头域的 DDoS

  • 2011-09-22
  • 本文字数:774 字

    阅读完需:约 3 分钟

2007 年,Google 工程师 Michael Zalewski 在研究了 HTTP/1.1 Range 头域的实现后,发表了一篇备忘,详细说明了 Apache 和 IIS 网页服务器中存在的一个潜在漏洞。

在我印象中,一个单独的、短的请求就可用来诱使服务器无目的地地发出数以 GB 的伪数据,而不顾服务器文件大小、连接数以及管理员设定的持续(keep-alive)请求数的限制。

8 月 19 号,“ Full Disclosure ”安全邮件列表中发布了一段 Apache DDoS 工具原型的 Perl 脚本。8 月 24 号,Apache 安全小组就此发表了一篇备忘进行解释

它最常见地表现在静态内容生成且通过 mod_deflate 模块进行压缩的时候,但其它在内存中缓存或生成内容的模块也可能会受到影响。这是一种非常普遍(缺省的,不是么?)的配置方式。

攻击可以远程进行,并且中等数量的请求就会导致内存和 CPU 占用率显著提高。

我们注意到该工具已经得到越来越多的应用。

目前还没有修复该漏洞的补丁和新版本的 apache,因此本公告将在长期修复补丁发布时更新。修复补丁预计将在接下来的 96 小时内发布。

星期五,Apache发布了第二则公告,其中他们解释了当服务器处理请求以返回多个(重叠的)范围时,Apache httpd 进程和它所谓的内部“桶队列(bucket brigades)”是如何按照请求的顺序进行处理的。单个请求可以请求非常大的范围(例如从字节 0 到结尾),差距达到 100 倍。目前,这种类型的请求内部会扩展相当于 100 次大型的取指令操作,所有这些都以低效率的方式保存在内存中。

处理方式有两种,要么使事情更有效率,要么清除或者简化被认为过于笨重的请求。在最终修复方案出来前有几种直接选择可缓解这一状况。

Apache 提出的缓解措施包括从完全禁止 Range 头域到限制请求包的大小及部署定制的 Range 计数模块。Lori MacVittie详细说明了如何通过使用 Big-IP 来实现缓解措施

查看英文原文“Apache Killer” a DDoS using the Range HTTP Header

2011-09-22 02:013316

评论

发布
暂无评论
发现更多内容

自主管理——对人性的假设

zhongzhq

自主管理 组织

从0到1搭建大数据平台之调度系统

数据社

大数据 工作流调度

糟糕,你写的 BUG 要被存1000年了!

华为云开发者联盟

GitHub 开源 代码 bug 卤化银胶片

汇丰坠落:世间已无「日不落」

钛禾产业观察

汇丰 财经

如何从0到1搭建大数据平台

数据社

大数据 中台

从0到1搭建大数据平台之数据采集系统

数据社

大数据 数据采集

成功的9大步骤:从手动测试转为自动化测试

禅道项目管理

测试 自动化测试

话题讨论 | 哪本极具影响力的书,是每位程序员都应该读的?

InfoQ写作社区官方

写作平台 话题讨论

30秒,2种方法解决SQL Server的内存管理问题

华为云开发者联盟

数据库 sql 内存 服务器 华为云

什么是零代码?零代码开发可以带来的好处

代码制造者

可视化 零代码 编程效率

Flink x Zeppelin ,Hive Streaming 实战解析

Apache Flink

flink hive Zeppelin

读书时,如何提炼文章架构形成思维导图

dd多了个多

读书笔记 读书感悟

作业1

chenzt

从0到1搭建大数据平台之计算存储系统

数据社

大数据 中台 计算引擎

LeetCode 328. Odd Even Linked List

liu_liu

算法 LeetCode

读书笔记:Google软件测试之道【二】

Man

测试 测试文化

周子衡 | 数字资产、数字支付及跨境活动——以美元数字化为例

CECBC

加密货币 数字资产

VIPKID 在线教育场景下的实时计算技术落地和实践

Apache Flink

flink

一位区块链产品经理讲述“区块链”的通知 重点方向包括区块链安全

CECBC

物联网 区块链技术 联盟链

我是如何写读书笔记的

dd多了个多

读书笔记

原创 | 使用JPA实现DDD持久化- O:对象的世界(1/3)

编程道与术

Java hibernate DDD JDBC jpa

读书笔记:Google软件测试之道【三】

Man

测试 测试文化

实时计算的业务劣势、思维误区和改进之道

KAMI

大数据 flink 方法论 实时计算

湾区金科沙龙,华青融天技术总监吴伟平详解旁路式应用性能监控

DT极客

读书笔记:Google软件测试之道【一】

Man

测试 测试文化

写作社区划线笔记新功能全新上线!给你带来不一样的写作学习体验~

InfoQ写作社区官方

写作平台 玩转写作平台 热门活动

读书,区分一二三四手知识

dd多了个多

读书笔记

架构师训练营第九周作业

一剑

区块链在这些生活场景中悄然落地了......

CECBC

区块链 落地应用

Java 垃圾回收

dongge

“Apache杀手”一种利用Range HTTP头域的DDoS_架构_Jean-Jacques Dubray_InfoQ精选文章