apache 拒絕服務 DoS 漏洞警告修復方法

2021-05-27 17:31:55 字數 1712 閱讀 2134

apache專案日前發布警告:發現乙個apache http server的拒絕服務(dos)漏洞,該漏洞可讓攻擊者輕鬆地讓apache軟體拒絕服務。apache指出,攻擊工具正在坊間廣泛流傳,並且已經留意到一些活躍分子。

漏洞影響到了apache的所有版本。該攻擊能夠在遠端發動,並且使apache http伺服器占用大量的記憶體和cpu資源,而導致無法處理正常的請求。預設安裝的apache更容易受此攻擊。

目前尚無相應的補丁或新版本。apache預計在48小時內將進行修復,發布補丁或是新版本。需要注意的是,該補丁或新版本將針對apache 2.0及2.2,apache 1.3則建議棄用。

在完整補丁發布前,apache給出了以下幾個應對措施:

1.啟用setenvlf和mod_rewrite檢測訪問中是否有大量的range,若有的話,則忽略該range請求頭或直接拒絕請求。

option 1:(適用於apache 2.0、2.2)

1# drop the range header when more than 5 ranges.

2# cve-2011-3192

3setenvif range (,.*?) bad-range=1

4requestheader unset range env=bad-range

5

6# optional logging.

7customlog logs/range-cve-2011-3192.log common env=bad-range

option 2:(也適用於apache 1.3)

1# reject request when more than 5 ranges in the range: header.

2# cve-2011-3192

3#

4rewriteengine on

5rewritecond % !(^bytes=[^,]+(,[^,]+)$|^$)

6rewriterule .* - [f]

2.限制訪問字段大小為幾百位元組。

1limitrequestfieldsize 200

3.使用mod_header來徹底禁止range header的使用。

1requestheader unset range

4.部署乙個range header計數模組來進行臨時的監測。

5.及時關注並安裝下面鏈結中發布的補丁:

更多詳情檢視:range header dos vulnerability apache httpd 1.3/2.x。

拒絕服務攻擊 DOS)

拒絕服務攻擊 dos dos是denial of service的簡稱,即拒絕服務,造成dos的攻擊行為被稱為dos攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的dos攻擊有計算機網路頻寬攻擊和連通性攻擊。頻寬攻擊指以極大的通訊量衝擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法的使...

拒絕服務(DoS)攻擊

拒絕服務 denial of service,簡稱dos 型攻擊。四種常見dos攻擊型別 1.頻寬耗用 最陰險的dos攻擊形式是 頻寬耗用 bandwidth consumption 攻擊。其本質是攻擊者消耗掉某個網路的所有可用頻寬。這可以發生在區域網上,不過更常見的是攻擊者遠端消耗資源。這種攻擊有...

DOS 拒絕服務攻擊

dos,denail of service,拒絕服務攻擊。黑客發起大量網路請求來消耗指定伺服器的頻寬與資源,導致不能響應正常使用者。如果有多個計算機來發起惡意請求,就稱為ddos,distributed denial of service,分布式拒絕服務攻擊。dos可以分為多種,常見的是syn fl...