|
|
今のところ、CONNECT method は apache の proxy/gateway にしか使われていないモヨウ。
なので、mod_proxy を動かしていない場合は実害ありません。
ステータスコード 405(Method Not Allowed) をレスポンスしていれば心配ないでつ。
405 レスポンスは、
でつ。
405 をレスポンスしている限りだが、断るとゆっている
ので問題ないでつ。少し腹立たしいけどね。
で、apache の和訳マニュアルの一部を抜粋
この仕様書では、(例えば SSL トンネリング等の) トンネルとなるように動的に 切り換える事ができるプロクシが使用する時のために CONNECT というメソッド名 を予約する。
で、ログの一例は下記を参照されたい。
| 114-44-144-11.dynamic.hinet.net - - [23/Sep/2008:13:33:37 +0900] "CONNECT 202.108.22.46:80 HTTP/1.1" 405 235 "-" "-" |
CONNECT に続く 202.108.22.46 の IP アドレスの部分は大手のポータルサイトや大手メーカーの
トップページの IP が指定される事が多いようでつ。
因みに、 202.108.22.46 は悪名高き百度(baidu)でつた(@_@;)
んで、CONNECT で指定した IP の Web Page が見えれば Open Proxy と確定したも同義。
宜しくないアクセスの踏み台にしてしまをうとゆぅコンタンのようでつ。
こんな CONNECT もありまつた。
| 114-44-144-11.dynamic.hinet.net - - [23/Sep/2008:13:33:38 +0900] "CONNECT 61.135.132.110:25 HTTP/1.1" 405 235 "-" "-" |
影響はありません。
http status code 405 をレスポンスしていることを確認しませう。
apache の proxy を止めて squid に乗り換える手がありまつね。
それができないようなら、 httpd.conf に接続可能な IP アドレスを
制限するようにしましょう。
一例はフォワード・プロキシの場合です。
|
AllowCONNECT 8080 443 ProxyRequests On ProxyVia On <Proxy *> Order deny,allow Deny from all Allow from 192.168.1 </Proxy> |
ってなとこか。
