問題タブ [denial-of-service]

（外部ネットワーク監視ではなく）サービス実装でDOSを検出および防止するためのベストプラクティスを探しています。このサービスは、ユーザー、グループ、および属性情報のクエリを処理します。

DOSの取り扱いに関するお気に入りの情報源は何ですか？

Web アプリでのサービスの拒否や悪用など、ユーザーの悪い行動や攻撃を調査して検出する最善の方法は何ですか?

サーバーの統計 ( Awstats など) は、そのような目的、特に 3XX、4XX、および 5XX エラー (ここに Awstats のサンプル ページがあります) を確認するのに非常に役立ちます。これらのエラーは、多くの場合、よく知られている不正または不正な URL を試すボットまたは悪意のあるユーザーです。 .

その種の攻撃を暫定的に分析および検出するための他の（およびより良い）方法はありますか？

注 : サーバーのコンポーネント (データベースや TCP/IP など) に対する攻撃ではなく、URL ベースの攻撃について話しているのです。

ASP.NET MVC サイトでのサービス拒否攻撃を防ぐための、安価で優れた方法を探しています。

HttpHandler をインターセプトし、Cache オブジェクトでリクエストをカウントするソリューションについて考えていました。キーは「RequestCount_[IpAddressOfRequestClient]」のようなものですが、それはクレイジーなオーバーヘッドを生成するようです。

どんなアイデアでも大歓迎です。ありがとうございました！

これはServerfaultに適しているかもしれませんが、ここにしか来ない多くのWeb開発者は、おそらくこの質問に対する可能な回答から恩恵を受けるでしょう。

問題は、Webサーバーに対するサービス拒否攻撃からどのように効果的に身を守るかということです。

この記事を読んだ後、私はこれを自問しました

よく知らない人のために、私が覚えていることは次のとおりです。DoS攻撃は、偽のヘッダーをサーバーに繰り返し送信することにより、すべての接続を占有しようとします。

そうすることで、サーバーは可能な同時接続の制限に達し、その結果、通常のユーザーはサイトにアクセスできなくなります。

ウィキペディアはさらにいくつかの情報を提供します：http：//en.wikipedia.org/wiki/Denial_of_service

私は、Richard Stevens によるUNIX Network Programming Volume 1 に取り組んでおり、Telnet プロトコルを使用する TCP Echo クライアントを作成しようとしています。私はまだ初期段階にあり、読み書き機能を書き込もうとしています。

マルチクライアントである必要があり、Berkeley Sockets ライブラリを学習しようとしているときに C++ スレッドの学習に取り組みたくないため、I/O 多重化と Select 関数を使用するように記述したいと思います。同時に。I/O 多重化に関する章の最後に、Stevens は DOS 攻撃に関する小さなセクションを持っており、私が使用することを計画していた方法は、接続後に 1 バイトを送信するだけでハングする DOS 攻撃に対して脆弱であると述べています。その後、彼は 3 つの可能な解決策について言及しています。つまり、ノンブロッキング IO、スレッド化 (アウト)、および I/O 操作にタイムアウトを設定することです。

私の質問は、そのような攻撃を回避する他の方法はありますか? そうでない場合、これらのうちどれが最高ですか? 操作にタイムアウトを設定するセクションをざっと見ましたが、やりたいことのようには見えません。それを行うために彼が提案する方法はかなり複雑に見えます。私は NIO の章をちらりと見ただけで、今のところそれが進むべき道のように見えますが、この章をさらに数時間掘り下げる前に、これを回避する他の方法があるかどうかを確認したいと思います.

何か案は？

IIS 5 aspx ページに対して行われた、不正な形式または悪意のある http ポスト データ要求を認識できるアプリケーション ロジックを作成しています。不正なリクエストを終了する最も効率的な方法は何ですか?

不正なリクエストが識別された時点では、バッファリングされた出力はなく、C# 関数の終了スタックは浅くなっています。

現時点での私の推測では、response.End() とそのスレッド終了例外の追加の混乱は、通常の 204「コンテンツなし」応答よりも DOS 攻撃の状況で混乱を招く可能性があります。

私のサイトが何をしているかについてある程度の見通しを立てるために、すべての aspx ヒットは、たとえば 10 ミリ秒から 300 ミリ秒の DB クエリ アクティビティをもたらすため、0.5 ミリ秒で通常の 204 応答として不正な形式のリクエストに応答することは、大幅な節約になります。

現在開発中のRailsアプリで.pdfsと.zips（5-25MB）のダウンロード統計を記録しようとしていますが、壁にぶつかりました。共有ホスティングプロバイダーがmod_xsendfileをサポートしていないことがわかりました。私が読んだ情報源によると、これがないと、複数のダウンロードがDoSの問題を引き起こす可能性があります。これは私が絶対に避けようとしていることです。Railsを介してファイルを提供するこの方法に代わる方法があるかどうか疑問に思っていますか？

ユーザーが次のようなコードでLinuxマシンをロックするのを防ぐ方法はありますか？

問題のコンピューターはコンピューターラボにあるので、コンパイルを完全に禁止することはできません...しかし、そのようなプロセスがシステムリソースの特定の部分のみを消費するようにする方法はありますか？この問題の重要性は、すべてのユーザーが任意のシステムにSSHで接続できるという事実によってさらに複雑になります。したがって、これがまだ問題になっていない唯一の理由は、ほとんどのユーザーが多かれ少なかれCやその他の低水準言語に慣れていないことです。 。

それでも、これをつぼみに挟みたい...

そのため、クラスに対する永続的なDOS攻撃を調査しており、具体的な例を思い付くのに苦労しています。Phlashing（用語を知らない人のために、デバイスをブリックするか、悪意のあるファームウェアをその場所に配置するためにファームウェアをフラッシュする）については多くの情報がありますが、より幅広い例を示したいと思います。

そうは言っても、ディスクアームを磨耗させるようなコードを書く方法が必要ですよね？ディスクがディスクの最後までシークし、次に前面に戻って、オンとオンを繰り返すもの。誰かがそれがどのように達成されるかの例を持っていますか？Cのディスクのどこを追跡するかを指定する方法はありますか（ファイル内の特定のポイントまでトラバースするのと同様ですが、HDD全体に対して！）？そうでない場合は、常にディスク上のファイルの場所を強制しようとしていると思います...これは、達成しようとするのが面白くないようです。繰り返しますが、プログラムでそのようなことを行うことができますか？

誰かがこれらのタイプの攻撃についての洞察、または私がチェックインするための良いリソースを持っているなら、私はそれをいただければ幸いです。たぶん、数年前にスラッシュドットでそれについての話を読んだことがありますか？お知らせ下さい！収集できる情報が多ければ多いほど、クラスでルーターをブリックすることで、会話中に時間をつぶすことを余儀なくされる可能性は低くなります:)私はお金やルーターでできていません！

Web サービスを不正使用や DDoS から保護するのに役立つサーブレット フィルタ ライブラリを探しています。

Web サービスには「承認済みクライアント」があるため、理想的には、フィルターは、承認されていないクライアントや不適切な動作をするクライアントを検出したり、同じアカウントを使用している複数の人物を検出したりするのに役立ちます。また、オープンアカウント ポリシーがあるため、さまざまなサービスの DoS 攻撃を防止する方法も必要です。ユーザーの同時接続数を制限するなどです。

Tomcat LockOutFilter などを見てきましたが、これらはかなり原始的なものであり、1 種類の攻撃を防ぐだけです。

もちろん、ソリューションにはアプリケーション固有のコンポーネントが多数ありますが、出発点として一般的なソリューションを誰かが書いたのではないかと思っていました。