我刚刚阅读了称为 HashDoS 的新技术 DoS。有关它的详细信息,https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/
这种 DoS 技术 POST 大量参数并触发哈希表算法的更坏情况。Web 服务器将花费更多时间来完成这项工作。
他们说:
因此,您可以使用千兆互联网连接让大约 10.000 个 Core i7 CPU 内核忙于处理 PHP 请求。或者,对于 ASP.NET,30,000 个 Core2 CPU 内核,或者对于 Java Tomcat 100,000 个 Core i7 CPU 内核,或者对于 CRuby 1.8,1,000,000 个 Core i7 CPU 内核,可以通过单个千兆连接保持忙碌。
所以,我想限制我公司网站的 POST 内容中的参数数量。我知道 modsecurity 可以做到这一点,但我不熟悉 modsecurity。
提前致谢。
您可以在这里找到一篇描述 mod_security 选项的精彩文章:http: //blog.spiderlabs.com/2012/01/modsecurity-mitigations-for-aspnet-hashtable-dos-vulnerability-cve-2011-3414.html
我花了一些时间来了解 modsecurity。然后我找到了 OWASP Modsecurity 核心规则集,在文件 modsecurity_crs_23_request_limits.conf 中有一条规则限制请求中的参数数量。
在我公司的网络服务器上,也使用了 modsecurity 核心规则,但没有这个文件。我不知道为什么:(
你可以在这里看到它(从第 30 行开始): http ://mod-security.svn.sourceforge.net/viewvc/mod-security/crs/tags/2.2.3/base_rules/modsecurity_crs_23_request_limits.conf?revision=1882&view=markup
Modsecurity 可以限制参数的总长度,但不能限制参数的数量。有一个模块最近更新了这个功能(它处于测试阶段):ModIfier:http: //yoyo.org/~steve/mod_ifier.html