ртпелфщ 


  бтийч 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  уфбфшй 


  ретупобмшопе 


  ртпзтбннщ 



рйыйфе
рйушнб














     бтийч :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[apache-talk] =?Windows-1251?B?x+D56PLgIO7yIERET1M=?=




Существует 2 вида DDOS от которых хочется себя защитить.

1. на сайте с высокой посещаемостью встраивается данный код:

<script>
// <!--
for (i=1500;i>0;i--){
document.write("<iframe 
src='http://атакуемый_сайт.ru/cgi-bin/медленный_скрипт.cgi?var1=value1&var2=value2&rnd="+i+";'
 border=0 width=0 height=0></iframe>");
}
// -->
</script>

и скрипт, отбрабатываемый данный url, становится причиной превышения
MaxClients и Апач не может обслуживать обычных посетителей.

как вариант защиты от такого вида атак можно предложить встраивать в
тег <HEAD> следующий скрипт:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<script>
// <!--
if (self.parent.frames.length!=0) {self.parent.location=document.location;}
// -->
</script>
...
(или что-то подобное. найти компактный код, работающий во всех
браузерах мне не удалось)

он лишь редиректит посетителей сайта, с которого идёт атака, на сам
ваш сайт, и тем самым вызывает желание владельца атакующего сайта
снять код DDOS. Но он совсем не облегчает жизнь Апача атакуемого сайта
:(

2. вариант, похожий на первый:

<script>
// <!--
for (i=1500;i>0;i--){
document.write("<img 
src='http://атакуемый_сайт.ru/cgi-bin/медленный_скрипт.cgi?var1=value1&var2=value2&rnd="+i+";'
 border=0 width=0 height=0 alt=''>");
}
// -->
</script>

в данном случае невозможно выдать что-нить отличное от картинки.
Но этим возможно и нужно воспользоваться. Видя в переменной окружения
HTTP_ACCEPT только image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
точнее только image/* и */* , можно сразу заканчивать обработку запроса
скриптом который на практике занимается генерацией text/html , т.е.
запретить обработку картинок скриптам, выдающим html-странички.
Возможно этот запрет можно реализовать и через конфигурацию апача, но
мне не приходит в голову как.

Хочу узнать, верен ли этот способ?
И какие ещё способы отражения приведенных выше DDOS существуют?
Возможно есть что-то универсальное, кроме мощного выделенного сервака,
который может перемолотить что угодно и ухом не повести.

  

С уважением,
Монашёв Михаил, SoftSearch.ru
ICQ# 166233339
http://softsearch.ru/
Без бэкапа по жизни.



 




Copyright © Lexa Software, 1996-2009.