タグ

dos対策に関するkgbuのブックマーク (7)

  • REXMLのDoS脆弱性

    Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;

    kgbu
    kgbu 2008/08/24
    再帰的な構造をparseする際に問題が発生するようだ。実行時にライブラリをパッチするあたりがRubyらしいか
  • tech-kern: Re: SYN cookie ?

    Subject: Re: SYN cookie ? To: der Mouse <mouse@Rodents.Montreal.QC.CA> From: Bill Sommerfeld <sommerfeld@orchard.arlington.ma.us> List: tech-kern Date: 04/18/2001 10:57:51 Stateless SYN cookies are a clever idea not allowed for by the TCP spec. If the 3rd packet of the TCP 3-way handshake is lost, and the "client" side has no data to send initially, it is the "server's" responsibility to retransmi

    kgbu
    kgbu 2008/07/26
    SYN Floodを食らっているときにSSHでつながんないと確かに困るけど、本当にそうなのか?
  • SYN cookies

    D. J. Bernstein TCP/IP SYN cookies Mail service for Panix, an ISP in New York, was shut down by a SYN flood starting on 6 September 1996. A week later the story was covered by the RISKS Digest, the Wall Street Journal, the Washington Post, and many other newspapers. SYN flooding had been considered by security experts before. It was generally considered insoluble. See, for example, ``Practical UNI

    kgbu
    kgbu 2008/07/26
    SYN floodに対抗する策。発案者の解説
  • SYN cookies - Wikipedia

    SYN cookies (スィン・クッキーズ) とは、TCP SYN flood攻撃を防ぐために開発された手法のひとつ。1996年、ダニエル・J・バーンスタインらにより考案された。 SYN flood 攻撃の問題点は、TCP 接続が開始する前からサーバがクライアントの SYN パケットによって記憶領域を消費してしまう点にあった。通常この記憶領域には、クライアント側のIPアドレスとポート番号、接続に使うシーケンス番号、およびクライアントが指定してきた TCP接続に関する様々な設定 (TCPウィンドウの大きさなど) が格納される。また、サーバは SYN パケットを受けとった後、クライアントに対して SYN ACK パケットを返す。ここにはその TCP 接続に関連づけられたTCPシーケンス番号が含まれている。TCPシーケンス番号はこれ以降の TCP通信の中で、クライアントおよびサーバが共通して使

    kgbu
    kgbu 2008/07/26
    SYN flood 攻撃に対抗する機能だが、/proc/sys/net/ipv4/tcp_syncookies が1ならば対策されているという。ずいぶん昔からあるんだな。知らなかった。
  • mizzy.org : mod_dosdetector を Apache 2.0 系で動かすパッチ

    mod_dosdetecter 0.2 を Apache 2.0 系で動かすパッチを書いてみた。修正ポイントは、 /usr/local/apache/include/pcreposix.h:41: error: redeclaration of enumerator `REG_BADBR’ といったエラーが大量に出てくるが、これは /usr/include/regex.h と宣言が重複しているため。なので、#include <regex.h> は削除。 ap_regmatch_t 構造体と ap_regex_t 構造体は 2.2 系にのみ存在し、2.0 系には存在しない。なのでそれぞれ、regmatch_t, regex_t に置き換える。 apr_shm_remove は 2.2系 でしか使えないので、そのための修正を mod_fcgid のソース からパクる。 set_ignore_c

  • mod_dosdetectorの反応への反応 - stanaka's blog

    先日(id:stanaka:20070204)、公開したmod_dosdetectorですが、ブクマ数が300users越えと予想以上の反響でした。その中で、いくつかFAQ的な反応があったので、それらに対する回答です。 mod_limitipconnでもできるんじゃないの? mod_limitipconnは、同時接続数を制限して、越えた場合は、接続拒否をするというモジュールです。mod_dosdetectorは、DoS判定したクライアントのみを対象とした制御が可能です。この手の定量的なアクセス制御モジュールは、これまでにいくつか開発されているのですが、ほとんどのモジュールが単純にアクセス拒否するだけ、というのも、mod_dosdetectorの開発動機の一つです。 パフォーマンスは? 確かに余分な処理が必要となっているため、CPU負荷は増えています。しかし、はてなのサーバ構成では、リバース

    mod_dosdetectorの反応への反応 - stanaka's blog
  • サーバにDoS耐性を付ける - stanaka's blog

    ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。 そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。 というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設

    サーバにDoS耐性を付ける - stanaka's blog
    kgbu
    kgbu 2008/04/21
    ヘビーなアクセスをしてくるアドレスをbanしちゃうモジュール.lockoutのtimoutもあるそうだ。
  • 1