- - PR -
Proxy利用の防止
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-01-05 15:03
apache2.0.52を利用してWEBサーバを公開しています。
以前の担当者が、 ProxyRequests On の設定を入れていた為、外部からProxyとして利用されていたようで、 ログを確認するとものすごいアクセスがあります。 現在、Proxy Requests Onの設定をコメントにした為、Proxyとしては 利用出来ようにしました。(自分のクライアントからそのWEBサーバに Proxyの設定を行い、いろんなサイトをアクセスしても、そのWEBサー バのページしか表示されません。) しかしながら、ログを確認すると、上記設定を行ってからも、以前、 他サイトへのアクセスログが多く(というか、殆ど他サイトへのログ) サーバへのの負荷もかなり高いようで困っております。 そこで、 何かProxyの解除漏れがあるのか? その他、対策が無いのか? をご教示頂ければと思います。 | ||||||||
|
投稿日時: 2005-01-05 15:21
ProxyBlock *
Apache 再起動。 _________________ 日本の中心で、オフを叫ぶ(@名古屋)。 ご意見募集中! コブラ | ||||||||
|
投稿日時: 2005-01-05 23:48
こんばんわ.
目的があって http proxy の機能を有効にしたのでしょうか? でないなら早々にそのような機能を殺すべきでしょう. httpd は restart されましたか? 設定変更後も httpd に configuration を読み直させないと, 設定は反映されません. 心配なら netfilter などの機能で packet filtering すれば宜しいのでは? とくに外部に公開されるのであれば, personal firewall な機能はあって然るべきかと. 以上,ご参考までに. | ||||||||
|
投稿日時: 2005-01-06 01:01
こんばんわ。遅くに返信ありがとうございます。
Proxy機能を生かしていた理由ですが、社内のイントラWEBサーバの一部の機能を 社外から利用したい為に、ReverseProxyとして利用していました。 但し、ReverseProxyの機能を利用する為には「Proxy Requests On」の設定は 必要無いので、現在は、上記設定を消しています。 そして、Apacheの再起動も行い、IEのProxyの設定で該当サーバをProxyサーバに 設定して、他のサイトが見れない事も確認しています。 しかしながら、上記設定を行い1月経過しているにも関わらず、ログを確認する と、依然として、他のサイトへのアクセス要求が多い(2秒に1リクエスト程度) のです。 そこで、通常のProxyの設定以外の何かが漏れていて、依然としてProxyとして 悪用されているのでは?と考えています。 netfilterについてですが、ちょっと調べて、以下のようにやってみたんですが、 エラーとなってしまいます。 [root@localhost root]# iptables -A INPUT -m string --string 'GET http://' -j QUE UE iptables v1.2.6a: Couldn't load match `string':/lib/iptables/libipt_string.so: c annot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. 確かに、libipt_string.soは存在していません。 | ||||||||
|
投稿日時: 2005-01-06 09:11
おはようございます.
であれば,netfilter で 「OUTPUT は該当する内部 WWW server へのみ許可する」とすれば宜しいのでは?
「request がある」というのと「実際に使われている」のは違うと思います. netfilter の機能を利用して,trafic の log を採取することもできます. ご心配であれば,外部への通信を drop した上で logging したら如何でしょうか? | ||||||||
|
投稿日時: 2005-01-06 10:31
基本的なところが確認されていないのが気になるのですが...
そのログのステータスコードはどうなってるんでしょーか? 2xx ですか? | ||||||||
|
投稿日時: 2005-01-06 11:59
XXX.XXX.XXX.XXX - - [06/Jan/2005:11:51:45 +0900] "GET http://cns.3721.com/cns.dl l?fw=cm2&name=book&ff=0&pid=U_xubing_105532 HTTP/1.0" 404 311 XXX.XXX.XXX.XXX - - [06/Jan/2005:11:51:56 +0900] "GET http://clickserve.cc-dt.co m/link/banner?lid=41000000007565316 HTTP/1.1" 404 323 XXX.XXX.XXX.XXX - - [06/Jan/2005:11:51:59 +0900] "GET http://ca.movies.yahoo.com/pr ofiles/butterflyfeet HTTP/1.0" 404 333 みたいな感じで、404です。 XXX.XXX.XXX.XXx - - [06/Jan/2005:11:55:22 +0900] "GET http://tb37473715.anyp.cn/ H TTP/1.0" 200 753 たまに、ルートディレクトリは以下のアクセスであれば、200 となります。 ですから、本サーバへ不正にアクセスしている人は、「ページが 見つかりません」のようなエラーを受け取っているんではないか? と思うんですが、なかなかアクセスが止まないので、この仮定に 誤りがあるのか?と、自分を疑っています。 それとも、不正利用している人は、何らかのツールで巡回していて 気付かないのかな?とも考えています。 その前の、私の投稿にもあるように、netfilterをまだ、動かせて いないので、そちらで、Apacheへのアクセスを減らそうとは思って いるのですが... | ||||||||
|
投稿日時: 2005-01-06 12:57
んーと、200 を返してるのはそういうものですかね?
どうだったかしら... そのサイトにアクセスしてみましたが、753バイトということはないので ふつうに成功しているわけじゃないはずです。 それを置いとくと。 4xx を返しているからには失敗しているわけで、 > ですから、本サーバへ不正にアクセスしている人は、「ページが > 見つかりません」のようなエラーを受け取っているんではないか? ということだと思います。 プロキシになってなくても、踏み台を探して手当たり次第にアクセス してくる輩はいますが、それは1日あたり10件程度ですかね。 桁違いに多いので、たしかに異常な状態だとは思います。 自分で公開プロキシを運用したことはないので 
どれくらいアクセスが続くものか知りませんが、一ヶ月くらいでは まだまだおさまらないのではないでしょーか。 公開プロキシサーバのリストを公開しているアングラサイトの 運営者たちが、そんなにマメにリストからの削除をやっているとも 思えませんので。 拾ってきた古いリストを手元に抱えたままの連中もいるでしょうし。 apache より手前でパケットを落とすしかないと思います。 おおざっぱに切ってしまってもいいなら、IPアドレスでアクセス制限 してしまうのが処理が軽くてよいと思うです。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。