問題タブ [denial-of-service]

IExtensiblesDataObject を使用して、このコントラクトのバージョン 02 との前方互換性を確保するデータ コントラクトに次のように取り組んでいます。連載、再連載して返送。

構成ファイルの ignoreExtensionDataObject を介してサポートをオフにせずに、そのような不測の事態から保護する方法はありますか。つまり、何らかの方法で数量を制限できますか?

前もって感謝します

ASP.Net4.0Webサイトを有害な繰り返し要求からプログラムで保護したいと思います。IPからのリクエスト数が多いことに気付いた場合は、そのIPを一定期間ブロックしたいと思います（たとえば、誰かがFORサイクルを書き込んで、Webページを何度もリクエストした場合）。最善の防御策は、認証されていないユーザーにデータを提供することではないことを知っていますが、残念ながら、一部の公開ページはデータ量が多く、それについて私ができることは何もありません。

私は今日いくつかの解決策を見ましたが、どれも私を満足させませんでした。これは非常に一般的な問題だと思います。このようなものを最初から実装したくありません。

モジュールとして実装されたソリューションを見たので、同じことをもっとうまくやりたいと思います。次の機能が必要です。

• 人間以外のパターンを検出した後、IPをブロックする
• HttpModuleとして実装することが望ましい
• クローラーに通過を許可する
• ブロックは一定の間隔の後に期限切れになるはずです
• 軽量：モジュールはウェブサイトの速度を落としたり、データベースにアクセスしたりしてはいけません

上司は、私たちの Web アプリケーションをテストして、Web サイトが処理できるトラフィック量を実証するように求めています。

アプリは JSF/JPA/Oracle アプリケーションであり、ローカルのホスティング会社のデータ センターにある 1 台のラック マウント サーバーですべてが実行されます。

実のところ、応答しなくなったり、完全にシャットダウンしたりする前に、どれだけのトラフィックを処理できるかはわかりません。

大量のトラフィックをシミュレートして、インターネットから Web アプリをパウンドする良い方法は何でしょうか? 多数の異なる Amazon EC2 仮想マシンをセットアップして、それらを Web 訪問者のふりをさせることを考えていましたが、これらのマシンで実行して、多数の Web 訪問者のように振る舞わせることができるソフトウェアはありますか?

また、無料である必要はありません。解決策やツールを喜んで提供します。

どんな提案や助けも大歓迎です!

ありがとう、ロブ

localhost で実行されている Apache サーバーに対して低速の http 読み取り攻撃をシミュレートしようとしています。しかし、サーバーは文句を言わず、クライアントが読み取るのを永遠に待つだけのようです。

これが私がすることです：

1. http サーバーから巨大なファイル (たとえば ~1MB) をリクエストします
2. 連続する読み取りの前に 100 秒待機するループ内のサーバーからの応答を読み取ります

ファイルが巨大で、クライアントの受信バッファーが小さいため、サーバーはファイルを複数のチャンクに分けて送信する必要があります。しかし、クライアント側では、連続する読み取りの間に 100 秒待機します。その結果、サーバーはしばしばクライアントをポーリングし、クライアントがまだ受信バッファを読み取っていないため、クライアントの受信ウィンドウ サイズがゼロであることを検出します。

しかし、サーバーはわざわざ接続を切断せず、静かにクライアントをポーリングし続けているようです。サーバーは、クライアント ウィンドウ サイズが > 0 の場合にデータを送信し、クライアントを待機するために再び戻ります。

クライアントがデータを読み取るのをしばらく待った後、サーバー側からの接続を切断するために設定できる Apache 構成パラメーターがあるかどうかを知りたいです。

Webサービス/WebBrokerアプリケーションをサービス拒否攻撃から保護するにはどうすればよいですか？この攻撃により、IISは同時に大量のWebブローカーインスタンスを作成します。Webブローカーには、新しいリクエストが来る前に開始して応答するのに十分な時間がありません。これにより、Webブローカーがクラッシュすることがあります。1分あたりのリクエストに何らかの制限がありますか、それともリクエストをキューに入れる方法がありますか？

ありがとうございました。

試行が失敗した後にログインを遅くするように Apache を設定する方法はありますか?

すでにここで説明したように、デフォルト設定ではないようです。

反対に、それを独自のアプリケーション ロジックに追加しなくても可能であるように思われます。単純な Apache では、こちらを参照してください。しかし、ドキュメントとディスカッションには何も見つかりませんでした???

ありがとうアキム

PHP で XML API を使用する Web アプリケーションを作成していますが、インライン DOCTYPE 定義に関連する 3 つの特定の脆弱性 (ローカル ファイル インクルージョン、2 次エンティティ ブローアップ、指数エンティティ ブローアップ) が心配です。PHP (5.3) のビルトイン ライブラリを使用したいのですが、これらの影響を受けないようにしたいのです。

libxml_disable_entity_loader を使用して LFI を排除できることがわかりましたが、これは他のエンティティを参照するエンティティを含むインライン ENTITY 宣言には役立ちません。

SimpleXML ライブラリ (SimpleXMLElement、simplexml_load_string など) は、DOM パーサーであり、すべての入力がかなり小さいため、優れています。これにより、xpath を使用して DOM を非常に簡単に操作できるようになります。ENTITY 宣言を停止する方法がわかりません。(可能であれば、すべてのインライン DOCTYPE 定義を無効にできれば幸いです。)

XML パーサー ライブラリ (xml_parser_create、xml_set_element_handler など) を使用すると、エンティティを含む既定のハンドラーを xml_set_default_handler で設定できます。私はそれをハックして、認識されないエンティティに対して単に元の文字列 (つまり、"&ent;") を返すようにすることができます。ただし、このライブラリはイライラさせられます。これは SAX パーサーであるため、多数のハンドラー (最大 9..) を作成する必要があります。

では、組み込みライブラリを使用して DOM のようなオブジェクトを取り出し、これらのさまざまな DoS 脆弱性から身を守ることは可能でしょうか? ありがとう

このページでは、3 つの脆弱性について説明し、.NET を使用していた場合の解決策を提供します: http://msdn.microsoft.com/en-us/magazine/ee335713.aspx

アップデート：

私もやってみloadXML($s, LIBXML_NOENT);ました。どちらの場合も、最終的に 300 MB 以上をダンプします。まだ足りないものはありますか？

現時点での同時ファイルアップロードの数を知りたいです。たとえば、数が制限を超えた場合、後で試すように謝罪するメッセージをユーザーに表示します。

PHP で現在実行中のアップロード数を取得する方法はありますか?

ご協力ありがとうございました...

私は NLP のプロジェクトに取り組んでおり、かなりの数のビデオ ゲームのレビューをダウンロードする必要があります。ウェブサイトあたり約 10,000 件です。そこで、各 URL にアクセスして、各ページのレビュー部分と追加のメタデータを引き出すプログラムを作成します。

私はJavaを使用しており、HttpURLConnectionを開いて入力ストリームからテキストを読み取ることを計画していました。次に、接続を閉じて次の接続を開きます。

私の質問はこれです：

1) これが中程度から少量のトラフィックを持つサイトであると仮定しましょう: 通常、通常のユーザーから 1 秒あたり約 1000 のリクエストを受け取ります。私のプログラムがシステムに過度のストレスを与え、他のユーザーのユーザー エクスペリエンスに影響を与える可能性はありますか?

2) 次々と行われるこれらの接続は、何らかの悪意のある攻撃として表示される可能性がありますか?

私は妄想的ですか、それともこれは問題ですか? このデータを取得するためのより良い方法はありますか? 私はいくつかの Web サイトに行くので、サイト管理者と個別に作業するのは不便で、おそらく不可能です。

悪意のあるユーザーからappengineアプリへのリクエストが多数寄せられており、DOS攻撃の試みである可能性があります。GAEのブラックリストにIPアドレスを追加する必要があります。しかし、私が見ると self.request.remote_addr

私が得るのは自分のIPアドレスだけです。これらのリクエストを実際に送信しているクライアントのリモートIPを取得するにはどうすればよいですか？