Apache 2.2.15から入った mod_reqtimeout を Reverse Proxyで使う場合の注意点

slowloris対策として、Apacheの2.1.15から入ったモジュールにmod_reqtimeoutというのがあります。

RequestReadTimeout header=10 body=30

このように設定することで、headerの受信が10秒以内、bodyの受信が30秒以内に完了しない場合、「408」エラーとできます。簡単で便利そうですね

公式ドキュメント http://httpd.apache.org/docs/2.2/en/mod/mod_reqtimeout.html

ただし、

Apacheをreverse proxyとして使用している場合はTimeoutにならず、リクエストの一部がproxy先に送られるという問題があるので注意が必要というか、はまったのでその話。

ちなみに、すでにBugzillaには上がっているけど、2.2系ではまだ対応完了してない https://issues.apache.org/bugzilla/show_bug.cgi?id=51103

以下再現方法。

まず、reverse proxy側で RequestReadTimeout と ProxyPass を設定します

RequestReadTimeout header=10 body=5
ProxyPass /backend http://127.0.0.1:5000

そして、backendとなるStarletには以下のpatchをあてます。

diff --git a/lib/Starlet/Server.pm b/lib/Starlet/Server.pm
index ea5a34a..f99f360 100644
--- a/lib/Starlet/Server.pm
+++ b/lib/Starlet/Server.pm
@@ -17,6 +17,8 @@ use Socket qw(IPPROTO_TCP TCP_NODELAY);
 use Try::Tiny;
 use Time::HiRes qw(time);

+use Log::Minimal;
+
 use constant MAX_REQUEST_SIZE => 131072;
 use constant MSWin32          => $^O eq 'MSWin32';

@@ -155,6 +157,10 @@ sub handle_connection {
         undef $can_exit;
         my $reqlen = parse_http_request($buf, $env);
         if ($reqlen >= 0) {
+            {
+                local $Log::Minimal::AUTODUMP=1;
+                warnf $env;
+            }
             # handle request
             if ($use_keepalive) {
                 if (my $c = $env->{HTTP_CONNECTION}) {
@@ -177,6 +183,7 @@ sub handle_connection {
                             $conn, \$chunk, $cl, 0, $self->{timeout})
                             or return;
                     }
+warnf "chunk size: %d", length($chunk);
                     $buffer->print($chunk);
                     $cl -= length $chunk;
                 }

関係ないけどStarletはシンプルなのでこういう検証に便利ですね

そしてtest用のpsgiアプリケーションを書いて

use Plack::Request;

sub {
    my $env = shift;
    my $req = Plack::Request->new($env);
    my $content = $req->content();
    my $length = length($content);
    [200,['Content-Type'=>'text/plain','Content-Length'=>length($length)+1],["$length\n"]];
};

起動、

$ plackup -s Starlet test.psgi

今度は、Bodyを送るのに5秒以上掛かるように細工したクライアントを書きます

#!/usr/bin/perl

use strict;
use warnings;
use IO::Socket::INET;

my $sock = IO::Socket::INET->new(
    PeerAddr => '127.0.0.1',
    PeerPort => '8080',
);

my $header = <<EOF;
POST /backend/foo HTTP/1.1
Host: example.com
User-Agent: slowpost
Content-Length: 32768
EOF

$header =~ s/\n/\r\n/g;

$sock->syswrite("$header\r\n");

for (1..8) {
    $sock->syswrite("1"x4096);
    sleep 1;
}

my $res;
$sock->sysread( $res, 8192 );

print $res;

これを使って、Apacheに向けてリクエストを送ってみると、、

$ perl slowpost.pl
HTTP/1.1 400 Bad Request
Date: Thu, 16 Feb 2012 02:28:51 GMT
Content-Length: 226
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>400 Bad Request</title>
</head><body>
<h1>Bad Request</h1>
<p>Your browser sent a request that this server could not understand.<br />
</p>
</body></html>

Bodyの送信に5秒以上掛かっているので、期待としては「408」が返って来そうですが「400」となりました。

Apacheのエラーログには

[Thu Feb 16 11:28:56 2012] [error] proxy: pass request body failed to 127.0.0.1:5000 (127.0.0.1) from 127.0.0.1 ()

このように記録されています。

ふむふむ、bodyのproxyに失敗しただけかと思うのですが、実際にはbodyも一部だけがproxyされ途中で切れています。

以下がplackupを起動したターミナルの出力

2012-02-16T11:28:54 [WARN] {'psgi.multiprocess' => 1,'SCRIPT_NAME' => '','SERVER_NAME' => 0,'HTTP_CONNECTION' => 'close','HTTP_X_FORWARDED_SERVER' => 'kazeburomba.local','PATH_INFO' => '/foo','CONTENT_LENGTH' => '32768','REQUEST_METHOD' => 'POST','psgi.multithread' => '','HTTP_USER_AGENT' => 'slowpost','QUERY_STRING' => '','REMOTE_PORT' => 55700,'SERVER_PORT' => 5000,'psgix.input.buffered' => 1,'REMOTE_ADDR' => '127.0.0.1','HTTP_X_FORWARDED_HOST' => 'example.com','SERVER_PROTOCOL' => 'HTTP/1.1','HTTP_X_FORWARDED_FOR' => '127.0.0.1','psgi.streaming' => 1,'psgi.errors' => *::STDERR,'REQUEST_URI' => '/foo','psgi.version' => [1,1],'psgi.nonblocking' => '','psgix.io' => bless( \*Symbol::GEN1, 'IO::Socket::INET' ),'psgi.url_scheme' => 'http','psgi.run_once' => '','HTTP_HOST' => '127.0.0.1:5000'} at /Users/hoge/perl5/perlbrew/perls/perl-5.12.2/lib/site_perl/5.12.2/Starlet/Server.pm line 162
2012-02-16T11:28:54 [WARN] chunk size:16384 at /Users/hoge/perl5/perlbrew/perls/perl-5.12.2/lib/site_perl/5.12.2/Starlet/Server.pm line 184

ヘッダも送られてきて、Bodyも16384byte読み込んでいます。

実際、StarletではBody部分がContent-Lengthの長さにならなければリクエストの処理に移らないので、問題とはならないのですが、Content-Lengthと異なっていても正常に処理をしてしまった場合(libapreqを使うmod_perlがそうだった気がする)問題となる可能性があります。

こわいこわい

おそらく原因としては、mod_reqtimeoutもmod_proxyもfilterで動いていて、reqtimeoutがエラーと判断した時にはすでにmod_proxyがbackendにコンテンツを送ってしまっていて、mod_proxyでリクエストのBofyの続きが読めなくなって「400」エラーって事なんだろうなぁと思ってます。

対策としては、RequestReadTimeout を使わない、もしくは使う場所を限定する（アップロードなど通信時間長くなるところには使わない)、Content-LengthやChunked-Transferを正しく扱うサーバを使ってのが考えられます。

そういえば昔、同じような問題に、LimitRequestBodyでもあたったことがあって、ApacheのFilter機構は難しいなぁと思った次第。

slowloris対策として、Apacheの2.1.15から入ったモジュールにmod\\_reqtimeoutというのがあります。\n\n RequestReadTimeout header=10 body=30\n\nこのように設定することで、headerの受信が10秒以内、bodyの受信が30秒以内に完了しない場合、「408」エラーとできます。簡単で便利そうですね\n\n公式ドキュメント\n[http://httpd.apache.org/docs/2.2/en/mod/mod_reqtimeout.html](http://httpd.apache.org/docs/2.2/en/mod/mod_reqtimeout.html)\n\n\n
\n**ただし、**\n
\n
\n\n\nApacheをreverse proxyとして使用している場合はTimeoutにならず、リクエストの一部がproxy先に送られるという問題があるので注意が必要というか、はまったのでその話。\n\nちなみに、すでにBugzillaには上がっているけど、2.2系ではまだ対応完了してない\n[https://issues.apache.org/bugzilla/show_bug.cgi?id=51103](https://issues.apache.org/bugzilla/show_bug.cgi?id=51103)\n\n
\n
\n
\n以下再現方法。\n\nまず、reverse proxy側で RequestReadTimeout と ProxyPass を設定します\n\n RequestReadTimeout header=10 body=5\n ProxyPass /backend http://127.0.0.1:5000\n\nそして、backendとなるStarletには以下のpatchをあてます。\n\n diff --git a/lib/Starlet/Server.pm b/lib/Starlet/Server.pm\n index ea5a34a..f99f360 100644\n --- a/lib/Starlet/Server.pm\n +++ b/lib/Starlet/Server.pm\n @@ -17,6 +17,8 @@ use Socket qw(IPPROTO_TCP TCP_NODELAY);\n use Try::Tiny;\n use Time::HiRes qw(time);\n \n +use Log::Minimal;\n +\n use constant MAX_REQUEST_SIZE => 131072;\n use constant MSWin32 => \$^O eq 'MSWin32';\n \n @@ -155,6 +157,10 @@ sub handle_connection {\n undef \$can_exit;\n my \$reqlen = parse_http_request(\$buf, \$env);\n if (\$reqlen >= 0) {\n + {\n + local \$Log::Minimal::AUTODUMP=1;\n + warnf \$env;\n + }\n # handle request\n if (\$use_keepalive) {\n if (my \$c = \$env->{HTTP_CONNECTION}) {\n @@ -177,6 +183,7 @@ sub handle_connection {\n \$conn, \\\$chunk, \$cl, 0, \$self->{timeout})\n or return;\n }\n +warnf \"chunk size: %d\", length(\$chunk);\n \$buffer->print(\$chunk);\n \$cl -= length \$chunk;\n }\n\n関係ないけどStarletはシンプルなのでこういう検証に便利ですね\n\nそしてtest用のpsgiアプリケーションを書いて\n\n use Plack::Request;\n \n sub {\n my \$env = shift;\n my \$req = Plack::Request->new(\$env);\n my \$content = \$req->content();\n my \$length = length(\$content);\n [200,['Content-Type'=>'text/plain','Content-Length'=>length(\$length)+1],[\"\$length\\n\"]];\n };\n\n起動、\n\n \$ plackup -s Starlet test.psgi\n\n今度は、Bodyを送るのに5秒以上掛かるように細工したクライアントを書きます\n\n #!/usr/bin/perl\n \n use strict;\n use warnings;\n use IO::Socket::INET;\n \n my \$sock = IO::Socket::INET->new(\n PeerAddr => '127.0.0.1',\n PeerPort => '8080',\n );\n \n my \$header = <syswrite(\"\$header\\r\\n\");\n \n for (1..8) {\n \$sock->syswrite(\"1\"x4096);\n sleep 1;\n }\n \n my \$res;\n \$sock->sysread( \$res, 8192 );\n \n print \$res;\n\nこれを使って、Apacheに向けてリクエストを送ってみると、、\n\n \$ perl slowpost.pl\n HTTP/1.1 400 Bad Request\n Date: Thu, 16 Feb 2012 02:28:51 GMT\n Content-Length: 226\n Connection: close\n Content-Type: text/html; charset=iso-8859-1\n \n \n \n 400 Bad Request\n \n

Bad Request

Your browser sent a request that this server could not understand.
\n

\n \n\nBodyの送信に5秒以上掛かっているので、期待としては「408」が返って来そうですが「400」となりました。\n\nApacheのエラーログには\n\n [Thu Feb 16 11:28:56 2012] [error] proxy: pass request body failed to 127.0.0.1:5000 (127.0.0.1) from 127.0.0.1 ()\n\nこのように記録されています。\n\nふむふむ、bodyのproxyに失敗しただけかと思うのですが、実際にはbodyも一部だけがproxyされ途中で切れています。\n\n以下がplackupを起動したターミナルの出力\n\n 2012-02-16T11:28:54 [WARN] {'psgi.multiprocess' => 1,'SCRIPT_NAME' => '','SERVER_NAME' => 0,'HTTP_CONNECTION' => 'close','HTTP_X_FORWARDED_SERVER' => 'kazeburomba.local','PATH_INFO' => '/foo','CONTENT_LENGTH' => '32768','REQUEST_METHOD' => 'POST','psgi.multithread' => '','HTTP_USER_AGENT' => 'slowpost','QUERY_STRING' => '','REMOTE_PORT' => 55700,'SERVER_PORT' => 5000,'psgix.input.buffered' => 1,'REMOTE_ADDR' => '127.0.0.1','HTTP_X_FORWARDED_HOST' => 'example.com','SERVER_PROTOCOL' => 'HTTP/1.1','HTTP_X_FORWARDED_FOR' => '127.0.0.1','psgi.streaming' => 1,'psgi.errors' => *::STDERR,'REQUEST_URI' => '/foo','psgi.version' => [1,1],'psgi.nonblocking' => '','psgix.io' => bless( \\*Symbol::GEN1, 'IO::Socket::INET' ),'psgi.url_scheme' => 'http','psgi.run_once' => '','HTTP_HOST' => '127.0.0.1:5000'} at /Users/hoge/perl5/perlbrew/perls/perl-5.12.2/lib/site_perl/5.12.2/Starlet/Server.pm line 162\n 2012-02-16T11:28:54 [WARN] chunk size:16384 at /Users/hoge/perl5/perlbrew/perls/perl-5.12.2/lib/site_perl/5.12.2/Starlet/Server.pm line 184\n\nヘッダも送られてきて、Bodyも16384byte読み込んでいます。\n\n実際、StarletではBody部分がContent-Lengthの長さにならなければリクエストの処理に移らないので、問題とはならないのですが、Content-Lengthと異なっていても正常に処理をしてしまった場合(libapreqを使うmod\\_perlがそうだった気がする)問題となる可能性があります。\n\nこわいこわい\n\nおそらく原因としては、mod\\_reqtimeoutもmod\\_proxyもfilterで動いていて、reqtimeoutがエラーと判断した時にはすでにmod\\_proxyがbackendにコンテンツを送ってしまっていて、mod\\_proxyでリクエストのBofyの続きが読めなくなって「400」エラーって事なんだろうなぁと思ってます。\n\n対策としては、RequestReadTimeout を使わない、もしくは使う場所を限定する（アップロードなど通信時間長くなるところには使わない)、Content-LengthやChunked-Transferを正しく扱うサーバを使ってのが考えられます。\n\nそういえば昔、同じような問題に、[LimitRequestBody](http://httpd.apache.org/docs/2.2/en/mod/core.html#limitrequestbody)でもあたったことがあって、ApacheのFilter機構は難しいなぁと思った次第。\n

Apache 2.2.15から入った mod_reqtimeout を Reverse Proxyで使う場合の注意点

Bad Request

検索

このブログ記事について

月別アーカイブ

ウェブページ

Apache 2.2.15から入った mod_reqtimeout を Reverse Proxyで使う場合の注意点

Bad Request

検索

このブログ記事について

月別 アーカイブ

ウェブページ

月別アーカイブ