パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apacheに新たな脆弱性発見」記事へのコメント

  • Apacheのメーリングリストで「Mitigating the Slowloris DoS attack」というタイトルでproof-of-conceptなパッチが投稿されているのを見つけました。根本対処ではないみたいですが。パッチはこれ↓

    http://synflood.at/tmp/anti-slowloris.diff

    負荷に応じてタイムアウト時間を自動調整、みたいな感じでしょうか。IISとかはどういう防御しているんですかね?
    • Re: (スコア:3, 参考になる)

      by Anonymous Coward
      IISは、たぶん、防御が必要ないと思う。

      今回の問題は、クライアントごとにプロセスをforkする、というunixの流儀が問題なので、
      Windowsの流儀、すなわち、1プロセスで多数のクライアントの相手をし、I/O完了ポートとワーカースレッドのプーリングのしくみを使ってスレッド数をCPUコア数に沿った数に抑えるという流儀では、
      今回のような悪意あるクライアントによって消費させられるリソースは、問題になりにくいのだと思う。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...