11/11/25 23:32:41.17 Msg2tvWa0
やはりapache死亡の原因はアタックか。
スレリンク(operate板:586番)
586 名前: 313 [sage] 投稿日: 2011/11/25(金) 23:00:28.39 ID:oPVDuvnq0
まず、攻撃者と思わしき人物は2chで犯行予告だしてます。(DAT落ち)
スレリンク(streaming板:861番)
スレリンク(streaming板:903-909番)
攻撃内容は自作のツールを使った、HTTP GET/POST Floodを使ったHTTP DoS攻撃。
1つのソケット(セッション)で繋ぎ、その中でGETやPOSTのリクエストを大量に流す方法。(sendしたデータのrecvは受け取らない)
Flood攻撃だけど攻撃者と帯域は一切使わないという観点で見ると、Slowlorisの亜種です。
攻撃されると、httpdが過負荷になり特にapacheの場合はプロセス大量にできる筈。
そのためにLoad Averageが爆上げになる。
逆に(攻撃されてない)sshなどには影響ない。(通常のDoSとは違い、httpdのみに特化)
で、攻撃が終了すると、apacheはkeep-alive時間でソケット切断するので、過負荷が解消する。
攻撃者について、どこのISPから攻撃してて単独犯なのかどうか、まで心当たりあるんだけど、
これ以上は2ch運営に直接話したいです。