Re: kleines netzwerk tool

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Wed, 24 Jan 2007 10:11:46 +0100

On Wed, Jan 24, 2007 at 08:59:12AM +0100, Marian Hettwer wrote:
> Hallo Liste,
>
> ich bin grade auf der Suche nach einem kleinen Tool welches ich
> einsetzen kann, um zum Beispiel einen connect auf einen Apachen zu
> machen, einen Request abzusetzen, aber dann die entsprechenden
> Rückgabewerte des apachen zu ignorieren.
> Im speziellen Fall möchte ich einen beliebigen String dem apachen vor
> die füße werfen und dann aber ignorieren, daß er die Verbindung beenden
> möchte. Sprich die FIN's ignorieren.
> telnet reagiert leider aufs FIN und schließt die Verbindung
> netcat (nc) ebenfalls :(

Nein - die beiden Programme machen das nicht, sondern der Kernel.
Jedenfalls teilweise.
Da die IIRC FIN-Packete auch Daten enthalten können wird es vermutlich
auch schwierig die per Packetfilter zu entsorgen.

> Irgendeiner ne Idee wie ich das erreichen kann?
>
> Hintergrund der Geschichte:
> Es gibt nen blödes P2P Netz namens DCPP (http://www.dcpp.net/) bei dem
> man scheinbar sagen kann "Hej Ho, ich behaupte mal, ich hab diese IP und
> den TCP Port, los, connected euch alle zu mir".
> Ich kann also ne x-beliebige IP Adresse angeben und alle anderen Peers
> connecten drauf los.
> Wenn hinter der angegebenen IP aber nen Apache läuft, ist der gnadenlos
> überfordert mit der Menge an Anfragen (die ja gar kein http sind). Und
> der doofe dcpp client reagiert scheinbar nicht auf den Verbindungsabbau
> des apachen. Ergebnis: Apache slots sind sinnlos belegt bis der Timeout
> zuschlägt.

Evtl lässt sich mit Accept-Filtern was machen.
=> accept_filter(9)/accf_http(9)
Der Kernel verschweigt dem Programm den Connect, bis er einen request
sieht.
Du müsstest den Filter wohl patchen, damit der keine anderen Daten
durchlässt.
Der Kernel dann braucht zwar immer noch den Socket, aber du hast keine
Resourcen beim Apache belegt.

> Ich würde nun gerne dieses Verhalten nachstellen (ignorieren des
> Verbindungsabbaus), damit ich gucken kann wie und ob mod_security beim
> apachen für dieses Problem abhilfe schafft.

Inwiefern ignorieren die anderen den Verbindungsabbau?
Klingt für mich eher danach, als wenn sich die Protokolle einfach
nur verhacken, also keiner einen Abbau anfordert, ansonsten würde es
keinen Sinn ergeben, dass der Apache nach dem Timeout doch noch was
erreicht.

-- 
B.Walter                http://www.bwct.de      http://www.fizon.de
bernd(at)bwct.de           info(at)bwct.de            support(at)fizon.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 24 Jan 2007 - 10:13:30 CET

search this site