Apache Killerたんかわいいよ/// (攻撃/kougeki)

3,926 views
3,759 views

Published on

第0回 #aftercamp みむら企画用に制作したLTです。

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,926
On SlideShare
0
From Embeds
0
Number of Embeds
36
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Apache Killerたんかわいいよ/// (攻撃/kougeki)

  1. 1. 攻<br />撃<br />kougeki<br />(C)atpons Taiga Asano<br />http://atpons.com/<br />Apache Killerたんかわいいよ///<br />
  2. 2. 先ほどのスライド<br />disられた><<br />しにたい<br />
  3. 3. ここでちょっと質問です<br />自宅サーバを運用してる人挙手<br />(C)atpons (Taiga Asano)<br />
  4. 4. Webサーバは?<br />Apache?<br />nginx?<br />IIS?<br />AN HTTPD?(使ってなさそう)<br />04WebServer?(Windows過ぎる)<br />
  5. 5. それはさておき<br /> <br />(C)atpons (Taiga Asano)<br />
  6. 6. Apache Killerってなんだよ<br />2011年8月後半から9月初旬にかけて話題になったDoSツールまたはDoSの総称?。<br />しかもゼロデイというwwくそうwwくそうww<br />Apacheで鯖運用してる人涙目<br />HTTPのRangeヘッダに、複数指定したRangeを含むリクエストをApacheに対して大量に<br />行う。<br />Apache側が個別に処理し、プロセスが大量に出現し、メモリ量を消費する。<br />処理が追いつかなくなってダウン。<br />(C)atpons (Taiga Asano)<br />
  7. 7. Rangeヘッダってなに?<br />コンテンツの一部分だけ受け取れるとかいうHTTPヘッダ。<br />ダウンロードソフトのレジューム機能なんかに使われる。<br />結構便利<br />範囲が重なった複数指定もできちゃう<br />Range: bytes=200-500,300-700<br />RFC的にもOK<br />(C)atpons (Taiga Asano)<br />
  8. 8. Apache Killerの攻撃方法<br />Apache Killerは以下のRangeヘッダを<br /> 含むリクエストを送信する<br />(Range: bytes=0-,5-0,5-1,5-2…<br />5-1296,5-1297,5-1298,5-1299)<br />本来であれば,普通に0~と解釈されるべき<br />Apacheはすべてを個別に処理する<br />大量のプロセスが発生する<br />(C)atpons (Taiga Asano)<br />
  9. 9. Apache Killerにも弱点があった?<br />Apache KillerのRangeは1299bytesまでの<br /> 指定だった<br />攻撃対象のコンテンツが”1300bytes”<br /> 未満であれば、効果は薄い。<br />F5アタック並だったとの報告も<br />どうして1300bytesなのか<br />リクエストヘッダにもサイズ制限があるので、<br /> ここらへんがちょうどよかったのかも。<br />(C)atpons (Taiga Asano)<br />
  10. 10. 当時推奨された防御方法<br />Rangeヘッダを無視 ←推奨!!<br />Rangeヘッダを無視することにより,攻撃自体を 無効化<br />大きいファイルなど,不特定多数にダウンロードされるファイルがあればRangeでレジュームができないので×<br />MaxClientsで同時コネクションを指定<br />これだと割とアクセスがあるサーバではすぐに制限コネクション数になってしまうので,推奨できない。<br />(C)atpons (Taiga Asano)<br />
  11. 11. Apache Killerで被害を受けたとされるサービス<br />2ちゃんねる<br />サーバ管理会社が公式に「Apache Killer」での<br /> 攻撃を認め、ニュースリリースとして公表。<br />2chの様々なスレッドに、Apache Killerでの攻撃 を示唆するレスなども発見<br />15 :動け動けウゴウゴ2ちゃんねる:2011/08/25(木) 22:50:07.51 ID:Ndt8kIn70だれかこれ2chに撃ってみてパッチ当ててなかったら落ちると思うttp://seclists.org/fulldisclosure/2011/Aug/175<br />(http://qb5.2ch.net/test/read.cgi/operate/1314279369/15)<br />(C)atpons (Taiga Asano)<br />
  12. 12. ココは怖いインターネッツですね<br />本当にApache Killerは激震を与えた<br />HTTPサーバとしては7割くらいのシェアを持っているApache HTTP Server<br />標準的なLAMP環境として、Apacheは様々なLinux ディストリビューションで「Web」系を選ぶとでてくる。<br />アップデートが遅かった<br />48時間以内といいつつも、結構出し渋った感<br />リポジトリなどによってはなおさら遅れる<br />(C)atpons (Taiga Asano)<br />
  13. 13. ということで<br />僕も自宅サーバを運営していますが、この一件でちょっと心配になってしまいました<br />バイバイApache<br />行こうnginx<br />(C)atpons (Taiga Asano)<br />
  14. 14. ご清聴ありがとうございました<br />参考文献<br />Apache killerは危険~Apache killerを評価する上での注意~ (徳丸浩の日記)<br />http://blog.tokumaru.org/2011/08/apache-killerapache-killer.html<br />RangeつきリクエストによるApacheのDoSとApache Killerの実力(水無月ばけらのえび日記)<br />http://bakera.jp/ebi/topic/4512<br />CVE-2011-3192 Range header DoS vulnerability Apache 1.3/2.x の更に続き(LowPriority)<br />http://d.hatena.ne.jp/nice20/20110829/p1<br />

×