質問
お世話になっております。
apacheの脆弱性をついたDDoS攻撃ツール「Apache Killer」が出回っていると 先日発表されましたが、みなさんはどのように対応されていますか?
暫定的な回避策として以下の4項目がApache提供元より紹介されていますが、 これらの策を講じる前に検討すべきポイント等がありましたら ご教示いただけますでしょうか。 <回避策> 1.SetEnvIfもしくはmodrewriteを使用し、リクエストに多数のRange 指定があった場合はそれを無視する 2.リクエストフィールドのサイズ制限を小さめに設定し、長いRange ヘッダを受け付けないようにする 3.modheadersを利用してRangeヘッダサポートを無効にする 4.Rangeヘッダーカウントモジュールを適用する
以上、よろしくお願いします。
お疲れ様です。
やっかいな問題ですよね。 そろそろパッチ組み込み版がリリースされるのかなと待っているのですがいまのところ、まだその動きはなさそうですね。
弊社では、IPS側での対応でとりあえずと考えていますが、一部IPSをを通らない公開系の回線分があり、こちらは、RangeHeaderサイズの制限で回避しています。
詳細設定はご存じかと思いますが、わかりやすいページがありましたのでご紹介しておきます。
http://wp.hujiwara.net/2011/08/26/apache-killer%E3%81%AB%E5%AF%BE%E5%BF%9C%E3%81%97%E3%82%88%E3%81%86%E3%81%8B/
本当に厄介ですね。
さきほど、JPCERTから注意喚起が出されました。
しばらく忙しくなるかもしれませんね。
ログインすることであなたの お困り事を全国の情シス担当者へ 質問することができます。
コードのインライン表示
引用 引用
引用
質問
お世話になっております。
apacheの脆弱性をついたDDoS攻撃ツール「Apache Killer」が出回っていると
先日発表されましたが、みなさんはどのように対応されていますか?
暫定的な回避策として以下の4項目がApache提供元より紹介されていますが、
これらの策を講じる前に検討すべきポイント等がありましたら
ご教示いただけますでしょうか。
<回避策>
1.SetEnvIfもしくはmodrewriteを使用し、リクエストに多数のRange
指定があった場合はそれを無視する
2.リクエストフィールドのサイズ制限を小さめに設定し、長いRange
ヘッダを受け付けないようにする
3.modheadersを利用してRangeヘッダサポートを無効にする
4.Rangeヘッダーカウントモジュールを適用する
以上、よろしくお願いします。