httpd 2GB限制

1. 信息收集与初步分析

1.1 报错信息

[error] [client 192.168.1.1] Invalid Content-Length, referer: https://192.168.1.7/datamanage/personaldatamanage.html
[error](-3)Unknown error 4294967293: proxy: prefetch request body failed to 192.168.192.1 from 192.168.1.1 ()

ap_run_create_request
|__ap_proxy_http_request
   |__ap_get_brigade



1. setup_client_block()在请求处理的开始，设置所有必须的属性
2. should_client_block()告诉模块是否读取输入
3. get_client_block
ap_setup_client_block
|__const char *lenp = apr_table_get(r->headers_in, "Content-Length");
   if (lenp) {
       conversion_error = 1;
   }
   return HTTP_BAD_REQUEST;



process_mkcol_body
|__const char *lenp = apr_table_get(r->headers_in, "Content-Length");
   if (lenp) {
       const char *pos = lenp;

        while (apr_isdigit(*pos) || apr_isspace(*pos)) {
            ++pos;
        }

        if (*pos != '\0') {
            /* This supplies additional information for the default message. */
            ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, r,
                          "Invalid Content-Length %s", lenp);
            return HTTP_BAD_REQUEST;
        }
    }



/*只有在成功解析出headers之后才会使用*/
ap_http_filter
|__lenp = apr_table_get(f->r->headers_in, "Content-Length");
   errno = 0;
   ctx->remaining = strtol(lenp, &endstr, 10);  /* we depend on ANSI */
   if (errno || (endstr && *endstr) || (ctx->remaining < 0)) {
       conversion_error = 1;
   }
   return ap_pass_brigade(f->r->output_filters, bb);

request_rec {
    /** MIME header environment from the request */
    apr_table_t *headers_in;
}

setup_client_block()在请求处理的开始，设置所有必须的属性
should_client_block()告诉模块是否读取输入
get_client_block

1.2 分析

通过对报错信息Invalid Content-Length的查找，找到了以下三个接口函数：

ap_setup_client_block
process_mkcol_body
ap_http_filter

通过gdb调试，暂定为ap_http_filter报出的错误信息。
查看ap_http_filter函数：

//获取Content-Length值
lenp = apr_table_get(f->r->headers_in, "Content-Length");
//将字符串转换为long int类型
ctx->remaining = strtol(lenp, &endstr, 10); /* we depend on ANSI */
if (errno || (endstr && *endstr) || (ctx->remaining < 0)) {
    conversion_error = 1;
}
if (conversion_error) {
    ap_log_rerror(APLOG_MARK, APLOG_ERR, 0, f->r, "Invalid Content-Length");
}

ctx->remaining的类型：

apr_off_t<-off_t<-long int

off_t类型用于指示文件的偏移量，常就是long类型，其默认为一个32位的整数，在gcc编译中会被编译为long int类型，在64位的Linux系统中则会被编译为long long int，其定义在unistd.h头文件中可以查看。
long int值的范围–2,147,483,648到2,147,483,647。
当接受一个2GB（2,147,483,648 ）的值时将导致ctx->remaining溢出为负数。数据类型范围参考

2. 近一步分析

2.1 hrp如何存储http body

2.2 httpd 2.4是否存在long类型溢出问题

当查看httpd 2.4是如何处理溢出问题的时候，发现其使用apr_strtoff接口，并注释防止上溢或者下溢。
我想到httpd 2.2会不会也对防止溢出做了处理，需要回头检查以下。
httpd2.2使用strtol接口，在重新查看说明的时候发现了这句话：

如果转换得到的值超出 long int 所能表示的范围，函数将返回 LONG_MAX 或 LONG_MIN（在 limits.h 头文件中定义），并将 errno 的值设置为 ERANGE。

我使用了如下程序模仿2GB的流程：

#include <stdio.h>
#include <stdlib.h>
#include <limits.h>
#include <errno.h>

int main()
{
  char *lenp1 = "2147483647";
  char *lenp2 = "2147483648";
  char *lenp3 = "2147483649";
  char *endstr;
  errno = 0;
  long int remaining1, remaining2, remaining3;
  remaining1 = strtol(lenp1, &endstr, 10);
  printf("errno:%d", errno);
  remaining2 = strtol(lenp2, &endstr, 10);
  printf("errno:%d", errno);
  remaining3 = strtol(lenp3, &endstr, 10);
  printf("errno:%d", errno);
  printf("remaining1:%ld\n", remaining1);
  printf("remaining2:%ld\n", remaining2);
  printf("remaining3:%ld\n", remaining3);
  return 0;
 }

执行结果：

SSL5-DEV-01:~/test/2# ./a.out
errno:0errno:34errno:34remaining1:2147483647
remaining2:2147483647
remaining3:2147483647

当发生溢出的时候返回错误码34。并取其最大值2147483647

接下来测试httpd 2.4的处理流程

附：LimitRequestBody Directive解析

描述：限制从客户端发送的HTTP请求正文的总大小
语法：LimitRequestBody bytes
默认：LimitRequestBody 0

此指令指定请求正文的字节数，从0（表示无限制）到2147483647（2GB）

LimitRequestBody指令允许用户在给定指令的上下文（服务器，每个目录，每个文件或每个位置）内设置HTTP请求消息体的允许大小限制。如果客户端请求超出该限制，服务器将返回错误响应，拒绝为请求提供服务。正常请求消息体的大小将根据资源的性质和该资源上允许的方法而有很大差异。 CGI脚本通常使用消息正文来检索表单信息。 PUT方法的实现将需要至少与服务器希望为该资源接受的任何表示一样大的值。

最后编辑于：2018.07.24 16:23:34

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 206,311评论 6赞 481
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 88,339评论 2赞 382
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 152,671评论 0赞 342
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 55,252评论 1赞 279
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 64,253评论 5赞 371
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 49,031评论 1赞 285
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,340评论 3赞 399
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,973评论 0赞 259
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 43,466评论 1赞 300
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,937评论 2赞 323
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 38,039评论 1赞 333
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,701评论 4赞 323
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,254评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 30,259评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,485评论 1赞 262
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,497评论 2赞 354
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,786评论 2赞 345