AK's weblog

Na, wer hätte das gedacht? (D)DoS-Angriffe auf Apache nach der Art von Slowloris funktionieren auch mit HTTP POST. Wong Onn Chee und Tom Brennan zeigen in dieser Präsentation, dass es genügt, nur genügend Verbindungen zu einem Webserver aufzumachen, und dann POST-Requests zu beginnen und die nicht fertig werden zu lassen (indem man nur langsam die Daten reintröpfeln lässt), um einen Apache lahm zu legen. Bei Slowloris ging das ja auch noch mit HTTP GET und einem unfertigen Request dadurch, dass sehr langsam immer neue HTTP-Header gesendet wurden, ohne den Request wirklich abzuschließen. Und jetzt dasselbe in grün.

Ehrlich gesagt wundert es mich aber nicht, dass sich bei Apache dieses Problem mehrfach manifestiert. Schon im Zuge von Slowloris habe ich mich mit der Thematik beschäftigt, und basierend auf beruflich gewonnenen Erkenntnissen den Apache-Entwicklern einen Patch zukommen lassen, der im wesentlichen ignoriert wurde. In einem Lightning Talk auf dem 26C3 habe ich auch nochmal vor der Problematik gewarnt.

Das letztendliche Problem ist jedoch die kaputte Architektur von Apache, dessen sind sich auch die Entwickler bewusst, nur keiner will es ganz so offen zugeben. Eine Lösung von Apache-Seite gäbe es durchaus, und zwar das event MPM, an dem allerdings, soweit ich das verfolge, im wesentlichen keine Entwicklungsarbeit geschieht. Die konsequente Lösung ist, Apache einfach wegzuwerfen (ich bin etwa auf lighttpd gewechselt), wer aus historischen Gründen kurz- und mittelfristig nicht von Apache wegkann, dem kann ich nur mein Mitleid aussprechen.