我为我的客户提供了一个 Web 服务,允许他将记录添加到生产数据库中。
我最近发生了一个事件,其中我的客户的程序员循环调用服务,迭代调用我的服务数千次。
我的问题是防止这种事情发生的最好方法是什么。
我想了一些办法: 1.在服务入口处,我可以为每个调用该服务的客户端更新计数器,但这看起来太笨拙了。2.检查调用该服务的客户端的IP,每次调用该服务时都会升一个flag,然后每隔一小时重置一次flag。
我很肯定有更好的方法,并且会提出任何建议。
谢谢,大卫
问问题
3664 次
3 回答
3
方法是在会话中存储一个计数器并使用该计数器来防止每次调用过多。
但是,如果您的用户可能试图避免这种情况并每次发送不同的 cookie*,那么您需要创建一个自定义表,其行为类似于会话,但将用户与 ip 连接,而不是与 cookie。
这里还有一个问题是,如果您在 ip 上阻止 basic,您可能会阻止整个公司从代理中出来。所以最后一个正确但更复杂的方法是让ip 和 cookie 都与用户连接,并知道浏览器是否允许 cookie。如果没有,那么你用 ip 阻止。这里的困难部分是了解 cookie。好吧,在每次通话时,您都可以强制他发送与现有会话连接的有效 cookie。如果没有,则浏览器没有 cookie。
[ * ] cookie 与会话相关联。
[ * ] 通过创建新表来保持计数器并与会话断开连接,您还可以避免会话锁定。
过去我使用过用于 DosAttack 的代码,但是当您有很多池和困难的应用程序时,它们都不能正常工作,所以我现在使用自定义表来描述它。这是我测试和使用的两个代码
如何查找保存在表格中的每秒点击次数。这是我的 SQL 计算每秒点击次数的部分。其中一个技巧是,如果我距离最后一次检查还有 6 秒或更多秒,我会继续添加点击次数并计算平均值。这是从计算中截取的代码作为一个想法
set @cDos_TotalCalls = @cDos_TotalCalls + @NewCallsCounter
SET @cMilSecDif = ABS(DATEDIFF(millisecond, @FirstDate, @UtpNow))
-- I left 6sec diferent to make the calculation
IF @cMilSecDif > 6000
SET @cClickPerSeconds = (@cDos_TotalCalls * 1000 / @cMilSecDif)
else
SET @cClickPerSeconds = 0
IF @cMilSecDif > 30000
UPDATE ATMP_LiveUserInfo SET cDos_TotalCalls = @NewCallsCounter, cDos_TotalCallsChecksOn = @UtpNow WHERE cLiveUsersID=@cLiveUsersID
ELSE IF @cMilSecDif > 16000
UPDATE ATMP_LiveUserInfo SET cDos_TotalCalls = (cDos_TotalCalls / 2),
cDos_TotalCallsChecksOn = DATEADD(millisecond, @cMilSecDif / 2, cDos_TotalCallsChecksOn)
WHERE cLiveUsersID=@cLiveUsersID
于 2012-07-16T08:12:15.043 回答
3
首先,您需要了解您的情况的法律方面:与您的客户签订的合同是否允许您限制客户的访问权限?
这个问题超出了 SO 的范围,但是您必须找到一种方法来回答它。因为如果您在法律上有义务处理所有请求,那么就没有办法绕过它。此外,对您的情况的法律分析可能已经包含一些限制,您可以通过这种方式限制访问。这反过来又会对您的解决方案产生影响。
除了所有这些问题,只关注技术方面,您是否使用某种用户身份验证?(如果不是,为什么不呢?)如果你这样做了,你可以在每个用户群上实施你决定使用的任何方案,我认为这将是最干净的解决方案(你不需要依赖 IP 地址,这是一个某种丑陋的解决方法)。
一旦你有了识别单个用户的方法,你就可以实施几个限制。我首先想到的是这些:
- 同步处理
只有在处理完所有先前的请求后才开始处理请求。这甚至可以通过lock您的主要处理方法中的一条语句来实现。如果你采取这种方法, - 处理请求之间的时间延迟
要求在一个处理调用之后必须经过特定时间才能允许下一次调用。最简单的解决方案是在用户会话中存储LastProcessed时间戳。如果您采用这种方法,您需要开始考虑在允许处理新请求之前如何响应 - 您是否向调用者发送错误消息?我想你应该...
编辑
声明
,lock简要说明:
它旨在用于线程安全操作。语法如下:
lock(lockObject)
{
// do stuff
}
lockObject需要是一个对象,通常是当前类的私有成员。效果是,如果你有 2 个线程都想执行这段代码,那么第一个到达lock语句的线程会锁定lockObject. 虽然它确实是,但第二个线程无法获取锁,因为对象已经被锁定。所以它只是坐在那里等待,直到第一个线程在退出块时释放锁}。只有这样,第二个线程才能锁定lockObject并完成它的工作,阻止lockObject任何第三个线程出现,直到它也退出该块。
小心,线程安全的整个问题绝非微不足道。(可以说,唯一无关紧要的是程序员可能犯的许多琐碎错误;-) 请参阅此处了解 C# 中的线程介绍
于 2012-07-16T08:18:54.137 回答
0
获取用户 ip 并在使用 web 服务后将其插入缓存一小时,这是缓存在服务器上:
HttpContext.Current.Cache.Insert("UserIp", true, null,DateTime.Now.AddHours(1),System.Web.Caching.Cache.NoSlidingExpiration);
当您需要检查用户是否在最后一小时输入时:
if(HttpContext.Current.Cache["UserIp"] != null)
{
//means user entered in last hour
}
于 2012-07-16T08:52:30.360 回答