Messages posted by: Abe

conmale wrote:

Abe wrote:

Mình hết sức thắc mắc 2 điểm là :

1. Sao đến giờ này, chưa thấy có report / chưa "cảm thấy" được một.. "làn sóng" căng thẳng nào về việc khai thác lỗ hổng này vì với tính chất nghiêm trọng và khả năng dễ khai thác như vậy thì đây quả là một điều hết sức..không bình thường. Phải chẳng là trước khi bão thì biển rất lặng?!

Chưa đâu. Còn mới mẻ quá mà. Thật ra cái perl script (slowloris) đã được công bố và đã có vài phiên bản khác nhau (viết bằng python và php) đã được ra đời. Tuy nhiên để tích hợp nó vào botnets thì không đơn giản mà nếu chơi "solo" thì không mấy hiệu quả vì IP có thể bị ban ngay. Riêng cái slowloris nguyên thủy nếu để chạy được thì khối ông kiddies cũng phải vò đầu, rứt tai bởi vì cần phải có một mớ perl modules (cộng thêm một mớ dependencies nữa).

Hiện nay sans đã chính thức công bố có vài vụ DDoS sử dụng slowloris để tấn công Iran (từ sau vụ bầu cử ở Iran). Ngoài ra chưa thấy thêm thông tin gì về các cuộc tấn công khác dùng slowloris. Riêng trên HVA thì từ ngày 19 tháng 6 2009 đến nay cũng có kha khá các vụ "thử nghiệm" nhưng chỉ xảy ra rời rạc và ngắn ngủi. Tuy vậy, tương lai vài tháng tới thì chưa biết sao.

Theo em đánh giá thì vẫn đề này hết sức nghiệm trọng chứ không phải bình thường nên thời gian là 2 tuần cho tới bây giờ là tương đối dài. Thật ra thì em đánh giá các bạn có được trong tay 1 hay nhiều botnets không hề thấp nên việc các bạn ý làm ra 1 quả binary rồi cho pwned users exec là việc không hề khó smilie

Còn hiện tại thì vẫn có rất nhiều bạn "đơn nam" solo chết một cơ số các site/server, đặc biệt là mấy bạn hosting. Việc ngồi canh để Ban IP thật ra thì cũng không phải là một cách hay và dễ chịu đâu anh ạ smilie

Bên cạnh đó, trong một số trường hợp (mà em đã được chứng thực) thì khá nhiều tay sysadmin hết sức lúng tung khi gặp phải vấn đề này, từ "wtf" cho tới "when", "why", "how" smilie

Vấn đề mấy ông vò đầu bứt tai thì quả thực là p4int in @ss nhưng mà cũng có cực nhiều đồng chí chả cần biết nó cần những modules / dependencies gì mà vẫn thấy perl -dns victim.vn ầm ầm mà không gặp trở ngại nào smilie

, vấn đề ở chỗ cái liveCD/cái nhiều cái OS image nó có full hết rồi smilie

conmale wrote:

Abe wrote:

2. Đã khá lâu rồi mà bạn Apache chưa thể hiện bất kể một ý định gì ?

Theo một số thảo luận của đám developers thì apache chưa có quyết định chính thức nhưng hiện đã có nhiều đề xuất khác nhau để fix tình trạng này. Hiện tượng trông có vẻ đơn giản nhưng lại khá phức tạp vì nó đụng đến nền tảng architecture của httpd apache. Đã có một patch (unofficial) cho apache 2.2.11 (và chỉ cho prefork mpm mà thôi) nhưng tôi thấy biện pháp xử lý mà patch này muốn thực hiện có vẻ không được triệt để.

Nếu tôi đoán không sai thì apache sẽ áp dụng biện pháp "granular timeout". Hãy đón xem chuyện gì sẽ xảy ra trong vòng vài tuần tới.

Absolutely agree. Em cũng đã nghĩ như anh, vấn đề em thắc mắc là bạn Apache foundation không/chưa có một động thái gì, ít nhất là để trấn an cộng đồng blah blah.. vì em nghĩ các bạn ý sẽ không ra patch mà sẽ sớm release new version sau hơn nửa năm..ngủ quên lol .. còn cả bạn Squid nữa chứ..

May mà đây toàn là các bạn Opensource.. chứ không thì mấy bạn như nginx phê đừng hỏi smilie

Mình hết sức thắc mắc 2 điểm là :

1. Sao đến giờ này, chưa thấy có report / chưa "cảm thấy" được một.. "làn sóng" căng thẳng nào về việc khai thác lỗ hổng này vì với tính chất nghiêm trọng và khả năng dễ khai thác như vậy thì đây quả là một điều hết sức..không bình thường. Phải chẳng là trước khi bão thì biển rất lặng?!

2. Đã khá lâu rồi mà bạn Apache chưa thể hiện bất kể một ý định gì smilie

?

Ký sự lần này hay quá anh ạ smilie

, ngắn gọn và súc tích, có lẽ là do phần 23 đã dẫn dắt và được bàn khá nhiều rồi smilie

. Thanks anh Diêu "dất" nhiều smilie

Tuy có vài vấn đề thật tình là em cũng chưa đoán ra được là "làm sao để tạo ra nó" nhưng quan trọng nhất là nhiều điều đã sáng tỏ.

Em có vài câu hỏi nhỏ nhỏ và ngây ngô thế này:

+ Vậy là sau ký sự lần này, '/dev/null' là một "phát kiến" mới để "discard" tất cả các packets mình muốn loại bỏ để "dồn sức" cho server xử lý những packets hợp lệ thay vì DROP? Có nên sử dụng "phát kiến" này nếu ta biết chắc mình có một bộ rules cho firewall "chuẩn"? (ý là ta biết chắc chắn ta cần/cho phép những packets nào đi vào để server xử lý)

+ Hmm, thế hóa ra 'có ai đó' đã biết là kernel của Linux xử lý mớ packets 'vô hại' kia không được tốt nên mới "đẻ" ra cái discard kia (ngay cả bọn làm netfilter và (em có cảm giác là) anh conmale cũng không nghĩ đến/tường tận khả năng nay/cách xử lý này)

+ Anh Diêu chau chuốt là thế mà viết hơi bị nhiều lỗi chính tả tiếng Việt ? smilie

Tớ thì tớ chưa đủ trình độ để nói cái distro này xịn, distro kia lởm, với lại cũng ít dùng "Linux", thích và hay dùng *BSD thôi.. Thế nên tranh thủ topic dành cho newbie này tớ muốn hỏi bạn chủ topic là : Tớ cũng máu mê về mạng, cũng máu k0de kiếc, nhưng mà tớ đếch biết là cái Slackware nó hơn Ubuntu/Fedora ở cái điểm nào khi dùng để học "mạng" và "code" cả...