апаче, компрессия и безопасность

0

0

тестирую новый подфорум..

допустим апаче принимает сжатый запрос POST. Потом апаче расжимает его и передает скрипту. Если злоумышленник берет 500 мегабайт нулей, сжимает его в 500 кбайт и дает апачу. И так несколько запросов. Апач накроется расжимая их? Можно как-то настроить апач, чтобы он отвергал такие запросы?

Ссылка

←	С(С++) как замена PHP

настройка mnogosearch

→

http://httpd.apache.org/docs/2.2/en/mod/core.html#limitrequestbody - не оно?

svr69 ★★
(27.07.07 01:05:08 MSD)

Разве апачи занимается декомпрессией POST-запросов?

anonymous
(27.07.07 16:49:09 MSD)

Ответ на: комментарий от anonymous 27.07.07 16:49:09 MSD

не знаю POST или PUT, не вдавался в детали (не я один это разрабатываю)

dilmah ★★★★★
(27.07.07 16:55:39 MSD) автор топика

Ответ на: комментарий от dilmah 27.07.07 16:55:39 MSD

А много ли клиентов имеют возможность сжимать отправляемые запросы?

zhuk ★
(31.07.07 17:32:08 MSD)

Ответ на: комментарий от svr69 27.07.07 01:05:08 MSD

>http://httpd.apache.org/docs/2.2/en/mod/core.html#limitrequestbody - не оно?

Не оно. Это позволит пройти запросу, распаковкой занимается mod_deflate.

zhuk ★
(31.07.07 17:37:14 MSD)

Ссылка

Ответ на: комментарий от zhuk 31.07.07 17:32:08 MSD

> А много ли клиентов имеют возможность сжимать отправляемые запросы?

у нас все.

Схема такая, мы разрабатываем сервер, параллельная команда клиент. К вебу отношения не имеет никакого. Клиенты обращаются к серверу по https -- просто для того чтобы не было проблем с файерволлами. Сжатие обязательно, потому что суммарные объемы будут очень большими.

На стороне сервера apache, mod_deflate, mod_perl просто для того чтобы как можно меньше изобретать велосипед. Если у прототипа выявятся проблемы, то будем переписывать..

dilmah ★★★★★
(01.08.07 00:39:42 MSD) автор топика

Ответ на: комментарий от dilmah 01.08.07 00:39:42 MSD

По-моему нужно копать в сторону mod_deflate. Тут http://httpd.apache.org/docs/2.2/en/mod/mod_deflate.html я нашел только опции для компрессии, для декомпрессии - написано, мол добавьте фильтр и все ок. ИМХО DOS атака вполне возможна и легко реализуема.

zhuk ★
(01.08.07 13:10:26 MSD)

Ответ на: комментарий от zhuk 01.08.07 13:10:26 MSD

Кстати, может быть есть опции ограничивающие объем памяти выделяемой для конкретного модуля?

zhuk ★
(01.08.07 13:12:16 MSD)

Ответ на: комментарий от zhuk 01.08.07 13:12:16 MSD

http://httpd.apache.org/docs/2.2/en/mod/mod_deflate.html

>DeflateMemLevel Directive >The DeflateMemLevel directive specifies how much memory should be used by zlib for compression (a value between 1 and 9).

Странно, судя по идентификатору должно просто ограничивать память.

zhuk ★
(01.08.07 13:16:35 MSD)

Ссылка

> допустим апаче принимает сжатый запрос POST

???

birdie ★★★★★
(01.08.07 13:41:47 MSD)

Ссылка

ну так почему бы не взять и не послать такой запрос ?
в чем проблема ?

nial ★
(01.08.07 15:31:05 MSD)

Ответ на: комментарий от nial 01.08.07 15:31:05 MSD

> ну так почему бы не взять и не послать такой запрос ? в чем проблема ?

сотрудники вроде пробовали. Не крэшится, но очевидно что кол-во обрабатываемых запросов в секунду резко уменьшается. Это DOS атака причем дешевая для атакующего. Нужно или ulimit ставить или еще какую хрень.. Я думал что это всем известная проблема со стандартным решением, потому и спросил.

dilmah ★★★★★
(02.08.07 00:29:03 MSD) автор топика