apache專案日前發布警告:發現乙個apache http server的拒絕服務(dos)漏洞,該漏洞可讓攻擊者輕鬆地讓apache軟體拒絕服務。apache指出,攻擊工具正在坊間廣泛流傳,並且已經留意到一些活躍分子。
漏洞影響到了apache的所有版本。該攻擊能夠在遠端發動,並且使apache http伺服器占用大量的記憶體和cpu資源,而導致無法處理正常的請求。預設安裝的apache更容易受此攻擊。
目前尚無相應的補丁或新版本。apache預計在48小時內將進行修復,發布補丁或是新版本。需要注意的是,該補丁或新版本將針對apache 2.0及2.2,apache 1.3則建議棄用。
在完整補丁發布前,apache給出了以下幾個應對措施:
1.啟用setenvlf和mod_rewrite檢測訪問中是否有大量的range,若有的話,則忽略該range請求頭或直接拒絕請求。
option 1:(適用於apache 2.0、2.2)
1# drop the range header when more than 5 ranges.
2# cve-2011-3192
3setenvif range (,.*?) bad-range=1
4requestheader unset range env=bad-range
5
6# optional logging.
7customlog logs/range-cve-2011-3192.log common env=bad-range
option 2:(也適用於apache 1.3)
1# reject request when more than 5 ranges in the range: header.
2# cve-2011-3192
3#
4rewriteengine on
5rewritecond % !(^bytes=[^,]+(,[^,]+)$|^$)
6rewriterule .* - [f]
2.限制訪問字段大小為幾百位元組。
1limitrequestfieldsize 200
3.使用mod_header來徹底禁止range header的使用。
1requestheader unset range
4.部署乙個range header計數模組來進行臨時的監測。
5.及時關注並安裝下面鏈結中發布的補丁:
更多詳情檢視:range header dos vulnerability apache httpd 1.3/2.x。
拒絕服務攻擊 DOS)
拒絕服務攻擊 dos dos是denial of service的簡稱,即拒絕服務,造成dos的攻擊行為被稱為dos攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的dos攻擊有計算機網路頻寬攻擊和連通性攻擊。頻寬攻擊指以極大的通訊量衝擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法的使...
拒絕服務(DoS)攻擊
拒絕服務 denial of service,簡稱dos 型攻擊。四種常見dos攻擊型別 1.頻寬耗用 最陰險的dos攻擊形式是 頻寬耗用 bandwidth consumption 攻擊。其本質是攻擊者消耗掉某個網路的所有可用頻寬。這可以發生在區域網上,不過更常見的是攻擊者遠端消耗資源。這種攻擊有...
DOS 拒絕服務攻擊
dos,denail of service,拒絕服務攻擊。黑客發起大量網路請求來消耗指定伺服器的頻寬與資源,導致不能響應正常使用者。如果有多個計算機來發起惡意請求,就稱為ddos,distributed denial of service,分布式拒絕服務攻擊。dos可以分為多種,常見的是syn fl...