On Thu, Sep 01, 2011 at 01:36:01PM +0300, Paul Arakelyan wrote:

Тут последнюю неделю народ визжит и пищит по поводу Range: http://seclists.org/fulldisclosure/2011/Aug/175 http://www.gossamer-threads.com/lists/apache/dev/401638

В последней ссылке таки пришли к выводу, что "есть странные клиенты, типа pdf-читалок/tiff/jpeg2000-смотрелок/webdav, могущие выдавать подобные запросы".

Что кто думает/делает на эту тему?

На какую из тем ? То, что apache голым каком в холодный интернет ставить не стоит известно примерно со времени benchmarks/slowloris, а то, как фильтровать данную атаку с помощью фронтального nginx или haproxy уже рассмотрено в соответствующих рассылках. -- In theory, there is no difference between theory and practice. But, in practice, there is.

On Thu, Sep 01, 2011 at 03:05:26PM +0400, Alexandre Snarskii wrote:

On Thu, Sep 01, 2011 at 01:36:01PM +0300, Paul Arakelyan wrote:

...

Тут последнюю неделю народ визжит и пищит по поводу Range: http://seclists.org/fulldisclosure/2011/Aug/175 http://www.gossamer-threads.com/lists/apache/dev/401638

В последней ссылке таки пришли к выводу, что "есть странные клиенты, типа pdf-читалок/tiff/jpeg2000-смотрелок/webdav, могущие выдавать подобные запросы".

Что кто думает/делает на эту тему?

На какую из тем ? То, что apache голым каком в холодный интернет Та почитав - получаем непонятку с тем, "где же граница между эксплоитом и реальными приложениями с долбанутыми запросами?" и "насколько сварят реальные приложения всякие workarounds". В рассылках видим "заблочим", "пропатчим - только непонятно как же оно должно работать, но мне кажется так, а другому кажется - по-другому..." - одним словом, "разброд и шатание".

О реальных граблях решений пока никто не написал... Я уже молчу - а чего, нельзя просто per-process memory limit поставить? -- Best regards, Paul Arakelyan.