expertenaustausch > comm.software.* > comm.software.webserver

Sebastian Suchanek (07.09.2017, 19:18)
Hallo NG!

Beim Blick in meine Apache-Logfiles sind mir "leere" Einträge nach
folgendem Muster aufgefallen:

| 37.201.192.237 - - [07/Sep/2017:19:06:33 +0200] "-" 408 3501 "-" "-"

Durchaus auch im Dutzenderpack innerhalb von kürzester Zeit und/oder von
derselben IP hintereinander. Was verbirgt sich dahinter? Sucht da jemand
Sicherheitslücken im Server? Soll das ein (D)DoS-Angriff werden, wenn's
fertig ist?

TIA,

Sebastian
Sven Hartge (07.09.2017, 19:49)
Sebastian Suchanek <sebastian.suchanek> wrote:

> Beim Blick in meine Apache-Logfiles sind mir "leere" Einträge nach
> folgendem Muster aufgefallen:


> | 37.201.192.237 - - [07/Sep/2017:19:06:33 +0200] "-" 408 3501 "-" "-"


> Durchaus auch im Dutzenderpack innerhalb von kürzester Zeit und/oder von
> derselben IP hintereinander. Was verbirgt sich dahinter? Sucht da jemand
> Sicherheitslücken im Server? Soll das ein (D)DoS-Angriff werden, wenn's
> fertig ist?


408 ist "REQUEST TIMEOUT", der Server hat also lange auf Daten vom
Client gewartet, der hat nichts mehr geschickt und der Server hat keinen
Bock mehr gehabt und die Vebindung getrennt.

Solche Verbindungen können natürlich für einen DoS genutzt werden, in
dem man versucht die maximale Verbindungsanzahl vom Server auszuschöpfen
und somit weitere Clients an der Nutzung zu hindern.

Andreas Kohlbach (07.09.2017, 22:10)
On Thu, 7 Sep 2017 19:49:08 +0200, Sven Hartge wrote:
> Sebastian Suchanek <sebastian.suchanek> wrote:
> 408 ist "REQUEST TIMEOUT", der Server hat also lange auf Daten vom
> Client gewartet, der hat nichts mehr geschickt und der Server hat keinen
> Bock mehr gehabt und die Vebindung getrennt.
> Solche Verbindungen können natürlich für einen DoS genutzt werden, in
> dem man versucht die maximale Verbindungsanzahl vom Server auszuschöpfen
> und somit weitere Clients an der Nutzung zu hindern.


Slowloris tut das u.a. Und es gibt Module dagegen für verschiedene Webserver.
Ähnliche Themen