DoS ataka (hash table collisions)

Sugeneravau 65k+ raktus (2 pakelta 16 laipsniu) ir nusiunčiau į savo serverį kaip "post" užklausą. Serveryje startavo php procesas naudojantis 99% CPU ir truko apie 25 sekundes, negerai :/

Pristatymas:

http://www.youtube.com/watch?v=R2Cq3CLI6H8

Daugiau informacijos: http://www.cs.rice.edu/~scrosby/hash/CrosbyWallach_UsenixSec2003/

Iš tikrųjų ir aš prieš pora dienų pamačiau šią naujieną, tik šiandien peržiūrėjau video. Tik nesupratau - ar visa tai apkrauna CPU net jei nesikreipi į tuos elementus? Jei taip, tai gal todėl, kad lėčiau būna ir juos įterpti, kai tenka pereiti per visą linked list'ą tam reikalui? Ar gerai mąstau? :unsure:

Tik nesupratau - ar visa tai apkrauna CPU net jei nesikreipi į tuos elementus?

Taip, PHP atveju užtenka tuščio failo (0 baitų), tiesiog reikia kad PHP interpretatorius įsijungtu. Net nesikreipiant į elementus startavimo metu PHP sukuria globalius objektus ($_POST, $_GET, ir t.t.) ir šiuo atveju dar prieš pradedant vykdyti skripto instrukcijas į $_POST rašomi visi kenksmingi raktai.

Taip, PHP atveju užtenka tuščio failo (0 baitų), tiesiog reikia kad PHP interpretatorius įsijungtu. Net nesikreipiant į elementus startavimo metu PHP sukuria globalius objektus ($_POST, $_GET, ir t.t.) ir šiuo atveju dar prieš pradedant vykdyti skripto instrukcijas į $_POST rašomi visi kenksmingi raktai.

Ne visai tą turėjau omeny :) Aš labiau apie veiksmą tam hashtable lygy. Ar CPU kankinamas todėl, kad įterpinėjant raktus su vienodais hash'ais prieš įterpiant reikia praeiti dar ir prieš visus ankstesnius elementus su tuo hashu? :)

Ne visai tą turėjau omeny :) Aš labiau apie veiksmą tam hashtable lygy. Ar CPU kankinamas todėl, kad įterpinėjant raktus su vienodais hash'ais prieš įterpiant reikia praeiti dar ir prieš visus ankstesnius elementus su tuo hashu? :)

Taip, rašant naują raktą su tuo pačiu hashu reikia pereiti per visus tam hashe esancius elementus (pvz. su strcmp()) ir patikrinti ar toks raktas jau yra. Video prezentacijoj apie tai šneka apie 6:00.

Jau yra fixas šiam dalykui, tik reiks palaukti kol bus išleista PHP 5.3.9 versija.

PHP 5.3.9 which will add a max_input_vars ini setting which defaults to 1000.

Jau yra fixas šiam dalykui, tik reiks palaukti kol bus išleista PHP 5.3.9 versija.

PHP 5.3.9 which will add a max_input_vars ini setting which defaults to 1000.

Iš tikrųjų būtų labai gerai sulaukti kažko tokio iš web serverių (Apache, lighttpd, nginx) pusės. Greitai užmetus akį, pavyzdžiui, nginx turi tik bendrą request'o body ilgio limitą, bet toks nustatymas ne visada gali tikti.

EDIT: ir netgi mano minėta nginx direktyva netinka, nes tada kartu ribojamas ir failo dydis. Taigi, kol kas teks saugotis ne iš serverio, bet aplikacijos pusės. Sprendimas Python (WSGI) (tik GET :().