http - 使用范围的拒绝服务攻击

Question

https://www.rfc-editor.org/rfc/rfc7233#section-6.1 ：

6.1。使用范围的拒绝服务攻击...服务器应该忽略、合并或拒绝严重的范围请求，例如对两个以上重叠范围的请求或对单个集合中的许多小范围的请求，特别是当范围被请求时没有明显原因的顺序。多部分范围请求并非旨在支持随机访问。...

是否有“一个集合中有许多小范围”的定义？

Answer 1

一般来说，合理的限制将取决于服务范围的成本，以及客户端从范围请求中受益的可能性有多大。

来自 SpiderLabs的初始缓解指南建议将野外实际流量限制为五个范围。

Apache httpd 中的实现允许多达 200 个范围，但只有 20 个可能重叠，或者出现乱序。这解决了循环利用的主要问题，该漏洞使用了大约六百个重叠范围。

Answer 2

这肯定很大程度上取决于您的服务，您认为什么“超出范围”，什么不是。对于作为服务运行的 PC 而言，严重程度肯定无法与大型公司网络相提并论。

您基本上需要为您的特定服务设置正常使用和不正常使用的条件，并拒绝超出该范围的任何内容。

就像软件中的任何地方一样，您需要对各种无效数据或行为进行“防护”。