태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'SANS'에 해당되는 글 1건

  1. 2009.06.22 Apache HTTP DoS 툴 - slowloris (2)

Apache HTTP DoS 툴 - slowloris

ⓤ System 2009.06.22 08:58


SANS Diary에 새로운 유형의 Apache HTTP DoS 툴(slowloris)에 관한 글이 올라왔네요.

SANS 기사에는 툴(소스코드)에 대한 링크가 존재하지 않았으나, 구글 검색으로 쉽게 찾을 수 있었으며 해당 툴에 대한 조작이 쉬워 국내에서도 이를 통한 공격이 발생할 것으로 보입니다.

#################################################################################

1. 공격 방식

  1.1. 기존 공격방식 : 단시간에 많은 HTTP/TCP 패킷을 서버로 전송해 부하를 일으킴

    >> 해결방법 : Apache와 같은 웹서버에서 순간적으로 접속이 증가하는 IP를 차단시키는 기능을 이용

  1.2. 'slowloris' 공격방식 : 정상적인 connection을 서버와 맺은 후 미완성된 HTTP 헤더를 서버로 전송해 connection을 연결시킨채 서버가 대기상태로 머물러 있게함, 결국 connection이 해제되지 않아 서버가 추가적인 요청을 받아들일 수 없게됨(느린 성능의 PC에서도 서버에 큰 부하를 줄 수 있음)

    >> 해결방법 : 임시로 서버의 max connection수를 증가시켜 공격을 지연시킬 수 있으나 궁극적인 해결책은 아니며, 현재 특별한 조치방법은 없다고 함

2. 취약 웹서버
  - Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer, Squid

3. 안전한 웹서버
  - IIS6.0, IIS7.0, lighttpd

4. 참고사이트
  - http://isc.sans.org/index.html?on=diary (SANS Diary 원문)
  - http://ha.ckers.org/slowloris/ (툴 설명 및 다운로드 가능)

Trackbacks 0 : Comments 2
  1. 엔신 2009.06.23 00:15 Modify/Delete Reply

    음... max connection을 어느정도 증가시키고,
    Timeout과 KeepAliveTimeout를 1~5 초 정도로 짧게 주어서
    연결 지속시간을 짧게 만드는 것도 어느정도는 효과를 볼 수 있겠네요.
    어찌됐거나....세상 무섭네요...

    • Favicon of https://suban.tistory.com BlogIcon suban 2009.06.23 08:23 신고 Modify/Delete

      저도 이런거 보면 무서워요^^; 엔신님이 말씀하신 방법외에도 mod_limitipconn 모듈 사용, Apache 서버 앞단에 Reverse proxy 사용(Perlbal, nginx)으로 완화 방안이 있습니다. 또 안전한 웹서버도 디폴트 설정은 취약하니 설정 꼭 변경해 주시고요. 그럼 참고하세요~

Write a comment