Apache Killer対策について
- Apache Killer対策についての基準として、Apache2.2.20未満とApache2.0.xがある。
- しかし、DoSツールを利用して攻撃しても脆弱性がなさそうなメッセージが表示されるため、追加の設定ファイルは不要である可能性がある。
- 特にApache2.0系列は対策済みのパッチがリリースされていないため、早めに暫定対応を施すか、対策版がリリースされてからアップデートするか迷っている。
- ベストアンサー
Apache Killer対策について
Apache Killer対策を要する基準として次の2つがあることがわかりました。 1. Apache2.2.20未満 2. Apache2.0.x しかし、1または2のいずれかに該当しているサイトでも、 巷に出回っているDoSツールを利用して実際に攻撃してみても、 「対象ホストは脆弱性がなさそう」といったメッセージが出力され停止します。 ステータスコード206を応答しないサーバーは「脆弱性がない(だろう)」と 判断しているように思えます。 この場合、アドバイザリに出ている設定ファイルへの追加といった、 暫定的な対応は不用なのでしょうか? とりわけ、2.0系列は対策済みのパッチがリリースされていないため、 早めにconfファイルへの暫定対応を施したほうがよいのか、 それとも対策版がリリースされてからのアップデートでよいのか 迷っています。 よろしくお願いします。
- r3dpin3
- お礼率87% (7/8)
- ネットワーク
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
あてずっぽうですが、もしかしてPHP等の動的コンテンツを 使って検証していませんか? Apache killerは、rangeヘッダを利用するので、 静的コンテンツを対象にしないと「206 Partial Content」 は返ってこないんじゃないかなと思います。(推測です) PHPを使ったWebアプリでも、GIF等の静的ファイルが 必ず使われていると思いますので、それを使って検証することを お勧めします。 念のため確認ですが、それって自分が管理しているWebサーバを 検証しているのですよね? 他人が管理しているWebサーバを勝手に検証しているのだったら、 それは攻撃とみなされますよ。
関連するQ&A
- apacheをアップグレードするとSSLは?
apache_1.3.22とapache_1.3.22+ssl_1.46で SSL対応のwebサーバを構築しているのですが、 この状態でapache1.3.26にアップグレードすると SSL機能は消えてしまうのでしょうか? やはり1.3.26の対応のapache-SSLパッチがリリースされてからでなければならないのですか?
- ベストアンサー
- その他(OS)
- バーチャルホスト (Apache2)
REDhatEL + Apache2でバーチャルホストを設定しようとしています。 RedHat7 + Apacheの時は、named.conf、zoneファイルの作成、httpd.confの設定でうまくいきましたが、今回はそれでは表示できませんでした。 何か他に設定が必要なのでしょうか?? http://domain/~vartualhost では表示できています。 宜しくお願いします。
- ベストアンサー
- ハードウェア・サーバー
- Apache virtualhostで存在しないホストについて
Apache virtualhostで存在しないホストについて教えてください。 virtualhostで存在しないホストにアクセスがあった場合にステータス404とカスタムエラーページを返したいと思います。 DNSは*でやってるので、存在しないホストでのアクセスも可能ですが、その際に404エラーを返したいと思います。 httpd.confの設定方法を教えてください。 存在しない場合には先頭のvirtualhostの設定を返すことは理解していますが、その場合にエラーとしたいのですが、方法がわかりません。
- 締切済み
- Linux系OS
- WEBシステム開発でのセキュリティ対策
セキュリティ対策について質問です。 apache-tomcat javaで外部公開するWEBシステム開発をする際の セキュリティ対策なのですが、 聞いた話だと、apache-tomcat連携の場合は、 「連携のポート8009をローカルホスト(サーバー自身)からのリクエストのみ通すようにするようにして、 後はapacheの脆弱性のみアップデートしておけば tomcat、JDK,JREのアップデートは必要ない。」 ということを聞いたことがありますが、 それだけで十分脆弱性に対応できるかどうかの根拠がいまいちです… 常に全てに最新のアップデートを適用するが一番最善とも思いますが、 システムへの影響を考えると難しい気がします。。。 皆さんは、こういったネットワーク機器ではない、 ソフトウェアのセキュリティ対策ってどうされてますか? 宜しくお願いしますm(_ _)m
- ベストアンサー
- セキュリティ対策
- Apache HTTP Server 2.2.4が起動しない その2
先日、PHPとApacheを自宅のマシン(WindowsXP Home edition)にインストールしてApacheが起動せず、質問を載せた者です。 その後、ネット検索で少し情報を探し、その方法でインストールをやり直してみました。 Apacheは「HTTP Server 2.2.4」です。 インストール後、Apacheを「start」で起動させようとして、DOS窓に表示されるエラーメッセージに対応したhttpd.confの編集を行ったのですが、その後「start」で起動させようとしたら、メッセージが何も表示されないDOS窓が開きっ放しで、「Apache Monitor」の「Service status」を見ても何も表示が無い、という状態になりました。 DOS窓にメッセージが何も表示されず、「Apache Monitor」でもApacheが起動していない表示、ということで、すっかり躓いています。 原因として、どのような事が考えられるでしょうか?
- 締切済み
- PHP
- Apache脆弱性対策(openssl)
現在使用しているサーバにてApacheのバージョンが2.2.27で脆弱性があり、2.2.29にバージョンアップをしようとしているのですが、そのサーバにはOpenSSLも設定してあり、こちらはこの作業の前にopenssl0.9.8eの脆弱性対策としてopenssl0.9.8zcを配置し、モジュールをmakeまでしてある状態で、Apacheのバージョンアップの際にmake installを行い、Apacheにも適用させようとしているのですが、ビルドの前にspecファイルに「--with-ssl=/usr/local/ssl/bin」(←opensslモジュールが存在する場所) を追加したのですが、OpenSSLが実際に適用されていません。他に設定などが必要なのでしょうか。また確認の際に、logでバージョン確認をしたのですが、他に確認する方法はありますでしょうか。(openssl versionコマンドであると、表示だけ変わっている状態なので意味ないようです。)
- 締切済み
- Linux系OS
- Apacheで各バーチャルホストとは別に全体のアクセスログをとりたい
Apache2使用です。 大量のバーチャルホストを運営しており、 各バーチャルホストごとにアクセスログを記録しています。 しかし、DOS攻撃等があった場合にどのホストにアタックされているのか 調べるために見当をつけて各ファイルを見ていかなければいけないため、 各バーチャルホストとは別に、サーバ全体のアクセスログをとりたいです。 しかし、httpd.confのCustomLogの説明文には、 バーチャルホストの設定部分にログ設定があったら CustomLog logs/access_log common には記録されないと書かれています。 各バーチャルホストとは別に、全体のログを記録する方法を教えてください。 よろしくお願いします。
- ベストアンサー
- Linux系OS
- Debianの Apache2 VirtualHostの設定方法 RedHat系と違う?
DebianのApache2を使い、バーチャルホストの設定を行いたいのですが、何か良い見本があれば教えていただけますか? RedHat系では httpd.confにすべて記述していたのでうすが、debianは設定ファイルが色々と分かれているようです。/etc/apache2/site-available/defaltに<VirtualHost>の設定を行うのですが、RedHat系の物をそのまま書き写して、 /etc/init.d/apache startとしても、起動しません。 デビアンのバーチャルホストの設定で参考になるものがございましたら教えてください。
- ベストアンサー
- Linux系OS
- Apache HTTPサーバーバージョン2.0のインストール後
自作PCに Red Hat Linux release9 (Shrike) をインストールしています。 自作PCでHTMLを公開したいと思っているのですが 上手くできずに困っています。 『/usr/local/apache2/bin/apachectl -f /usr/local/apache2/conf/httpd.conf』 このコマンドで起動後に、マシンのIPを指定すると ちゃんと 『あなたの予想に反して、このページが見えているでしょうか?』 は表示されるのですが htmlファイルが置いてある所『/home』の直下のディレクトリ(http://192.168.0.70/hoge/test.html)を 指定してもファイルが表示されません。 他に何か設定をしなくてはいけないのでしょうか?
- 締切済み
- Linux系OS
- Apacheで・・・・少し特殊なことを
はじめまして。 Apache最新版をLinuxで使ってます。 WEBサイトを構築してますが、一般アクセス者に 作曲ファイル(MIDIなど)やイラストをUPしてもらい、 それを自由にDL出来るサイトを作ってます。 しかし、中にはCGIをUPしたり、HTMLファイルをUPして、 勝手にHPを作ってしまうような人が見られるようになりました。 CGIはApacheのhttpd.confで該当区域は無効にしています。 しかし、HTMLファイルをアップする人には困っています。 どなた様か、HTMLファイルも開いたらソースが表示されるとか、 DL画面になるなどの方法を教えていただけませんか? 「サーバー詳細」 わけありで、UPプログラムには、ファイル種類限定など出来ません。 DL区域はCGIも.htaccessも無効になっています。 バーチャルホストではありません。 普通にhttp://www.XXXX.XX/DL/ のような普通のサイトです。
- 締切済み
- その他(インターネット・Webサービス)
お礼
回答ありがとうございます。 >静的コンテンツを対象にしないと「206 Partial Content」 >は返ってこないんじゃないかなと思います。(推測です) なるほど。 DocumentRootを静的なページに向けて、わざわざテストしました。 動的ページでもそこに含まれる静的なコンテンツを指定すれば、 同じ結果が得られるだろうということですね。 助かりました。ありがとうございます。 >念のため確認ですが、それって自分が管理しているWebサーバを >検証しているのですよね。 もちろん、管理下サーバーです。