摘要:原載于官方博客編譯中的這一拒絕服務(wù)攻擊漏洞為當(dāng)客戶端在一條連接內(nèi)發(fā)送大量管線化請求并且不從連接讀取響應(yīng)�����,將會導(dǎo)致服務(wù)中斷����。對攻擊者來說,套接字最終會超時并被服務(wù)器銷毀�����。
2013/10/22 17:42:10 原載于 Node.js 官方博客 / XiNGRZ 編譯
Node.js 中的這一拒絕服務(wù)攻擊漏洞為:當(dāng)客戶端在一條連接內(nèi)發(fā)送大量管線化 HTTP 請求��、并且不從連接讀取響應(yīng)�����,將會導(dǎo)致服務(wù)中斷。
我們建議所有 Node.js v0.8 或 v0.10 運行在生產(chǎn)環(huán)境的 HTTP 服務(wù)器盡快更新此版本�����。
v0.10.21 http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
v0.8.26 http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/
對此 Node .js 的修復(fù)方案是�,在套接字的下行可寫端等待 drain 事件時暫停套接字和 HTTP 解析器。對攻擊者來說���,套接字最終會超時并被服務(wù)器銷毀���。如果「攻擊者」并不存在惡意,只是發(fā)送了大量請求而無法盡快處理�,那么該連接的吞吐量會減小至該客戶端所能承受的范圍。
程序語義未產(chǎn)生改變�����,并且除了所述極端情況��,無需作任何變更�����。
如果沒有條件升級�����,那么在 Node.js 服務(wù)器前布置一個 HTTP 代理亦可緩解此漏洞�,前提是這個代理能自行解析 HTTP 并且不會被這個管線化拒絕服務(wù)攻擊放倒。
舉個栗子��,Nginx 能夠防范此攻擊(因為缺省情況下它會關(guān)閉管線化請求達(dá)到 100 個的連接)���,但 raw TCP 模式的 HAProxy 則不能(因為它直接代理 TCP 連接而不理會 HTTP 語義)���。
漏洞代號 CVE-2013-4450。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/11091.html
