Відмова Tomcat в обслуговуванні

Останні два дні наш веб-сервер Tomcat 5.5 Linux був розбитий протягом декількох хвилин, починаючи тисячі завантажень і зупиняючи їх. Деякі шляхи запиту в журналі доступу закінчуються частиною, подібною до "? Jfkdsjkfsdk". Чи відома вразливість систем Tomcat для таких атак?

Оновлення: На даний момент ми працюємо з чистою Tomcat, без Apache.

Підключення в тисячі разів - це відома "вразливість" будь-якого сервера з налаштуванням maxconnections (або який використовує багато ресурсів за з'єднання). Як DDOS, швидше за все, вони не "зупиняють" завантаження, вони просто переривають з'єднання без стільки, як пакет RST, так що з'єднання зависає, поки воно не вичерпається, або використовують щось на зразок trickleлише визнати кілька байт на час, щоб запобігти тимчасовому з’єднанню.

Все, що ви зробите, щоб пом'якшити це, залежатиме від усієї настройки. Якщо припустити, що ви зараз використовуєте apache + mod_jk + tomcat, то, крім помилки Барта2, я б розглядав mod_security, щоб виявити можливі шкідливі запити та відмовити їх. Інша ідея полягає в тому, якщо ви дійсно використовуєте tomcat для надсилання статичних даних, переміщуючи статичні дані, які подаються безпосередньо з apache (або легкого сервера, як lighttpd або nginix), використовуючи static.example.comдомен. Або, якщо вам потрібно, щоб ваш код вирішив, який файл надсилати, подумайте про використання mod_xsendfile в apache для подання статичних файлів, на які "вказував" ваш додаток, що дозволить tomcat закінчити запит і рухатися далі, поки apache обробляє файл (а не тримати файл і apache, і tomcat надсилати файл).

На підставі 206 відповідей, на ваш сервер Tomcat нападає атака перекриття, що перекривається, як це описано проти Apache в CVE-2011-3192.

Коли це була гаряча тема минулого місяця, мені здалося, що сервлет за замовчуванням Tomcat виглядає вразливим - дивіться тут .

Найкращим способом зупинити це було б припинити надання цих статичних файлів сервлетом за замовчуванням або зняти Range:заголовок вхідних запитів.

Ви приєднуєтесь до Tomcat з Apache? Якщо ні, то ви можете бути досить легко вразливими до таких атак, як Slowloris . Дещо погана ідея публічно викривати Tomcat.

Навіть якщо ви звертаєтесь через Apache, вам потрібно бути обережним, щоб захистити від атак Slowloris-esque, використовуючи mod_antiloris, а ще краще використовувати nginxпроксі-сервер, сервер якого виявляється невразливим до атаки Slowloris.

Шейн Медден має кращу відповідь, спочатку прийміть його поради.

Я не знаю одного, але не означає, що його немає. Використовуйте щось на кшталт fail2ban для пошуку в журналах цих запитів і заборонити IP-адреси автоматично.

Ви також можете працювати над впровадженням обмежень ресурсів / квот, щоб обмежити запити на завантаження, проксі / кешування для зменшення навантаження та сповіщення, щоб повідомити вас, коли це відбувається. Поряд з придушенням наших вихідних запитів, тому що навіть якщо ви не були DDoS'ed, ви не хочете, щоб законні запити перевищували вашу доступну пропускну здатність.

Більшість уразливостей полягатиме в тому, щоб "володіти" своїм сервером; врізання / ddos'ing це в цьому відношенні контрпродуктивно. Насправді, єдиний привід вбити сервер - це те, якщо хтось має сокиру, яка молиться проти вашої компанії.