Apache 1.3 2.0所有版本通杀 Ddos高危漏洞及临时解决方案

最新爆出Apache HTTPD DoS高危漏洞，影响到 apache 所有版本。

主要利用了Http Head中返回值为206 包含Partial Content字段，则构造Range字段的HEAD包进行DoS攻击，根据爆出的exp测试，100个包攻击数据包能够打挂一台apache server。

目前官方还没有给出patch解决方案，预计还要等48个小时，才能够给出官方patch；

临时提供的解决方法通过修改配置文件，测试都可用(前提是加载了mod_header模块)：

1.       完全关闭range是一种方法，在httpd.conf文件中设置RequestHeader志为unset

RequestHeader unset Range

2.       Apache 2.0.x 和2.3.x版本可通过修改配置，主要通过发现大的range包则忽略请求或者直接拒绝，在httpd.conf配置若中添加以下配置

<IfModule mod_headers.c>

SetEnvIf Range (,.*?){5,} bad-range=1

RequestHeader unset Range env=bad-range

# optional logging.

CustomLog logs/range-CVE-2011-3192.log common env=bad-range

</IfModule>