Apache a omezeni poctu spojeni podle IP

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Neděle Duben 24 18:01:41 CEST 2005


On Wed, 20 Apr 2005, Miloš Liška wrote:

>   By default, all clients behind a proxy are treated as coming from the
>   proxy server's IP address. If you patch Apache with the included patch
>   and configure with --with-forward and rebuild, the real IP addresses
>   of clients behind proxies are correctly detected.  You will need to
>   either compile statically or compile with -DRECORD_FORWARD.

Ma to cele nekolik chybicek:

1. Kdyz budu zly klient, tak do kazdeho pozadavku muzu dat X-Forwarded-For
(nebo jak se to presne jmenuje) pro jinou IP adresu. Takze bud a. tenhle
mechanismus lze trivialne oblbnout, nebo b. neni informace o klientovi za
proxy brana az tak uplne vazne a v extremnich situacich je stejne
zariznuta cela proxy.

2. Na strane klienta to musi jit pres plnohodnotnou HTTP proxy, ktera do
pozadavku prida patricnou hlavicku, a ne jen pres nejakou maskaradu.

3. Nelze timto zpusobem odmitnout pozadavek na nejnizsi mozne urovni (TCP
spojeni), ale je treba nechat spojeni navazat a pockat, nez prijde
hlavicka pozadavku, coz otvira prostor pro zahlceni serveru polovicatymi 
pozadavky.

Proste a jednoduse: kdyz nejaka skupina vystupuje pod jednou IP adresou,
tak se nevyhne tomu, ze na ni bude aplikovan princip kolektivni viny.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."



Další informace o konferenci Linux