FOX★「東日本ツールの対策の仕方が分からない＼(^o^)／」★2

449 名前： 忍法帖【Lv=40,xxxPT】 ◆8huU.uGZBA [sage] 投稿日：2011/08/03(水) 15:02:01.85 発信元:49.133.48.168 [7/8] 0
サーバへにリクエストが来た時、リクエストを受け取るまでhttpdは待っているわけだ
しかしcontentslength分だけ受け取りたいけど待てど暮らせど送ってこないから
httpd.confのtimeoutするまでそのhttpdプロセスがブロックされるんだな
そしてそれがたーくさんたまる、売り切れまで溜まる
売り切れたらそれ以降のhttpの要求は受け付けなくなる

攻撃がやんだらブロックされているhttpdは順次timeoutで開放され
だんだんいつもの状態に近づく

こうなんじゃないかな?

458 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2011/08/03(水) 15:07:36.86 発信元:218.220.22.97 [2/2] 0
>>449の流れどおりなんだけどこれを脆弱性と呼ぶのもどうなんだろう？

459 名前： 忍法帖【Lv=40,xxxPT】 ◆8huU.uGZBA [sage] 投稿日：2011/08/03(水) 15:09:22.38 発信元:49.133.48.168 0
しかし、だからといって、そうはいっても・・・

誰もその治し方をしらない。∩( ・ω・)∩ばんじゃーい

482 名前： 忍法帖【Lv=40,xxxPT】 ◆8huU.uGZBA [sage] 投稿日：2011/08/03(水) 16:13:40.74 発信元:49.133.48.168 [10/10] 0
私はどのサーバのrootも持っていないから何もできない。

ピロリがよく来る雑談スレ★7
http://dso.2ch.net/test/read.cgi/sakhalin/1304858981/482


前スレ
FOX★「モペキチツールの対策の仕方が分からない＼(^o^)／」
http://hatsukari.2ch.net/test/read.cgi/news/1312352312/

関連スレ
【速報】2chの鯖を落とすツール　作者は俺だった事が判明
http://hatsukari.2ch.net/test/read.cgi/news/1312356832/1

1 名前： ◆ad7985q5Lrbc (東日本)[] 投稿日：2011/08/03(水) 16:33:52.40 ID:euftOVyc0 ?PLT(12000) ポイント特典
http://img.2ch.net/ico/gikoneko3_shee.gif
【news】ニュース速報運用情報826【ν】
http://qb5.2ch.net/test/read.cgi/operate/1312343047/570,572,574

570 名前： 忍法帖【Lv=26,xxxPT】 【Doperate1312091124028693】 ：2011/08/03(水) 16:27:43.38 ID:sD6V+afb0
ラクラク攻撃君そろそろ消すか

572 名前： 忍法帖【Lv=26,xxxPT】 【Doperate1312091124028693】 ：2011/08/03(水) 16:28:17.88 ID:sD6V+afb0
消した

574 名前：動け動けウゴウゴ２ちゃんねる：2011/08/03(水) 16:30:08.57 ID:annDxgy30
>>572
やはり東日本か
http://suiton.geo.jp/?t=n&i=Doperate1312091124028693

Doperate1312091124028693　＝　◆ad7985q5Lrbc-桶♪

東日本にはチョンが沢山いるんだな
サムチョンスレで必死になってレスする奴も東日本だし。

もぺさんじゃなかったんだね

わろた

対策無いならツール広まったらずっと続くじゃん

東日本は放射能の影響でマジキチばっかだよ

狐死ね

あの東日本、何ヶ月か前も似たようなことしでかしてニュー速を長期間使えなくしたんじゃなかったか？

上層で弾いちゃえばいいんじゃね

さすが能無しのFOX

え？IPとセッションくらいは関連つけてあんだろ？
ならIPでセッション数制限もうけりゃいいだけじゃねーの？結構やってるとこある気がするけど・・・
タイムアウト短くしてバックグラウンドで非アクティブセッション消しまくるでも十分な気がするが
まぁ、現状がわからんけんなんともだな

やっぱり犯人は在日朝鮮ゴミ虫だったのか

【速報】2chの鯖を落とすツール　作者は俺だった事が判明
http://hatsukari.2ch.net/test/read.cgi/news/1312356832/

このスレもちょっとは盛り上げてやれよ

茄子がママ、胡瓜がパパ

http://hatsukari.2ch.net/test/read.cgi/news/1312357137/l50

その変なレングスのIP特定してルータで弾けばいいんじゃないの？

　　　(⌒⌒)　　　　　(⌒⌒)　　　　 (⌒⌒)　　　　　　(⌒⌒)　　　　　 (⌒⌒)
F5.F5.l|l l|lF5.F5.F5.F5l|l l|l.F5.F5.F5.l|l l|l.F5.F5.F5.F5.l|l l|lF5.F5.F5.F5.l|l l|lF5.F5.F5
ｶﾁ!!∧＿∧ｶﾁ!!ｶﾁ!∧＿∧ｶﾁ!!ｶﾁ!!∧＿∧ｶﾁ!!ｶﾁ!!∧＿∧ｶﾁ!!ｶﾁ!!　∧＿∧ｶﾁ!!
　　<#;｀Д´>　　　 <;#｀Д´>　　　　<;#｀Д´>　　　　<;#｀Д´>　　　　　<;#｀Д´>
＿(__つ/￣￣￣/...
　　＼/　　　　 /
F5.F5.F5.F5.F5.F5.F

timeoutを短くすればいい

>>14
東日本は叩けば叩くほど興奮する変態だからヤダ

JPCERT/CCだかApache Coreだかに相談したん？

この攻撃流行った3年前はTimeOut限界まで下げりゃいいって言ってた

どうせ結構なサイトがほったらかしだから、これ使えば簡単に鯖落としまくれるなｗ
ツールはSlowlorisでググれば出てくるが使用は自己責任だな

他人の鯖落として得することがない
むしろ、捕まりかねないから損する

そんなにすぐ売り切れるならお一人様一点までにすりゃいいだろうが

>>12
それやると金払ってツールでスレ拾ってる会社も巻き込むからできないとかありそう
たしかトップページに企業向けの説明リンクあったと思うけど、関係ないかな

モペ≠東日本なんだよね？

結局前のpass漏れのときもそうだったけど黒幕は東日本なん？

２ch閉鎖したら解決なんじゃね？

FOX素人くさいな。

∩( ・ω・)∩ばんじゃーい

>>25
そこだけIP指定して許可すればいいんじゃね？それか入り口ガチガチの別口のdat提供を設けるか
アフィもツールでdat取ってるだろうから引っかかるだろうしいい事デュクシ
単純タイムアウトや拒否ならルータでもOSレベルでも可能っぽいな

モペキチスレに書き込んだらocnから警告きた
金払って●買ったのに定期的にログインしなおさないと書き込めないクソ仕様

前スレの勢いはどこへｗ

ツールなんかに頼ってんじゃねぇ人力でコイヤ

対策の仕方ってｗｗ損害をこうむったんだから告訴したら良いべｗ

641 名前：名無しさん＠涙目です。(東京都)[] 投稿日：2011/08/03(水) 16:00:30.11 ID:qWzjDxae0 [5/13]
>>1
これ、Length切れしたパケットのIPアドレスをhttpdのログから拾って、
100件とか10000件程度のしきい値設定して、しきい値超えたhttp request discardすりゃいいだけなんじゃないの

694 名前：名無しさん＠涙目です。(catv?)[sage] 投稿日：2011/08/03(水) 16:05:10.91 ID:nbdumI2u0 [2/3]
>>641
大昔からあるDosなのにマジでこんなのが原因なのかな

711 名前：名無しさん＠涙目です。(東京都)[] 投稿日：2011/08/03(水) 16:06:22.21 ID:qWzjDxae0 [7/13]
>>694
俺も疑問だ、手法としては十数年前の手だし。

タイムアウトの時間を短くすれば
多少は改善するんじゃない？

まぁ根本的な改善じゃないけど

動的フィルターしかないだろ。
IPを捕捉しながら、同一IPからの単位時間内でのスレッド数を評価し、
タイムアウト時間を変化させる。
大して難しくはないが、評価専用のサーバ置た方が負荷が軽くなるか。