问题标签 [denial-of-service]

我正在研究如下数据合同，该数据合同使用 IExtensiblesDataObject 使其与该合同的版本 02 向前兼容，但我担心可能通过客户端通过需要删除的线路传递过多数据而导致“意外”拒绝服务序列化，重新序列化并发回。

如果不通过配置文件中的 ignoreExtensionDataObject 关闭支持，有没有办法防止这种可能性，即你能以某种方式限制数量吗？

提前致谢

我想以编程方式保护我的 ASP.Net 4.0 网站免受有害的重复请求。如果我注意到来自 IP 的请求数很高，那么我想阻止该 IP 一段时间（例如，如果有人编写 FOR 循环并一遍又一遍地请求网页）。我知道最好的防御措施不是将数据提供给未经身份验证的用户，但不幸的是，一些公共页面数据量很大，我对此无能为力。

我今天看了一些解决方案，但没有一个让我满意。我猜这是一个非常普遍的问题，我不想从头开始实施这样的事情。

我看到了一个作为模块实现的解决方案，我想做同样的事情，但做得更好。我需要以下功能：

• 在检测到非人类模式后阻止 IP
• 最好实现为 HttpModule
• 允许爬虫通过
• 块应该在一定的时间间隔后过期
• 轻量级：该模块不应减慢网站或访问数据库

我的老板希望我测试我们的 Web 应用程序，以展示该网站可以处理多少流量。

该应用程序是一个 JSF/JPA/Oracle 应用程序，一切都在本地托管公司数据中心的一台机架式服务器上运行。

事实是，我们不知道它在无响应或完全关闭之前可以处理多少流量。

从互联网上攻击网络应用程序，模拟大量流量的好方法是什么？我正在考虑设置许多不同的 Amazon EC2 虚拟机并让它们伪装成 Web 访问者，但有没有我可以在这些机器上运行的某种软件让它们表现得像许多 Web 访问者？

此外，它不一定是免费的，我愿意为解决方案或工具提供帮助。

非常感谢任何建议或帮助！

谢谢，罗伯

我正在尝试模拟针对在我的本地主机上运行的 apache 服务器的慢速 http 读取攻击。但看起来，服务器没有抱怨，只是永远等待客户端读取。

这就是我所做的：

1. 从 http 服务器请求一个大文件（比如 ~1MB）
2. 在连续读取之前等待 100 秒的循环中读取来自服务器的响应

由于文件很大，而客户端接收缓冲区很小，服务器必须以多个块的形式发送文件。但是，在客户端，我在连续读取之间等待 100 秒。结果，服务器经常轮询客户端，发现客户端的接收窗口大小为零，因为客户端还没有读取接收缓冲区。

但看起来服务器并没有打扰断开连接，而是默默地不断轮询客户端。服务器在客户端窗口大小> 0 时发送数据并再次返回等待客户端。

我想知道在等待客户端读取数据后是否可以设置任何 apache 配置参数以断开与服务器端的连接。

我可以做些什么来保护 Web 服务/WebBroker 应用程序免受拒绝服务攻击？攻击导致 IIS 在同一时刻创建大量网络代理实例。在新请求到来之前，网络经纪人没有足够的时间启动和响应。这有时会导致网络经纪人崩溃。每分钟请求是否有某种限制或将请求放入队列的某种方式？

谢谢你。

Is there a way to configure Apache to slow down login after failed attempts?

It looks like it is not the default setting as already discussed here.

On the other side it seems to be possible also without adding it to own application logic, on plain Apache, see here, but I found nothing in documentation and discussion???

Thanks Achim

I'm writing a web application that has an XML API in PHP, and I'm worried about three specific vulnerabilities, all related to inline DOCTYPE definitions: local file inclusion, quadratic entity blowup, and exponential entity blowup. I'd love to use PHP's (5.3) built in libraries, but I want to make sure I'm not susceptible to these.

I found I can eliminate LFI with libxml_disable_entity_loader, but this doesn't help with inline ENTITY declarations, including entities that refer to other entities.

The SimpleXML library (SimpleXMLElement, simplexml_load_string, etc) is great because it's a DOM parser and all my inputs are fairly small; it allows me to use xpath and manipulate the DOM pretty easily. I can't figure how to stop ENTITY declarations. (I would be happy to disable all inline DOCTYPE definitions, if possible.)

The XML Parser library (xml_parser_create, xml_set_element_handler, etc) allows me to set the default handler, which includes entities, with xml_set_default_handler. I can hack it so for unrecognized entities it simply returns the original string (ie, "&ent;"). This library is frustrating though: because it is a SAX parser I have to write a bunch of handlers (as many as 9..).

So is it possible to use the built in libraries, get DOM-like objects out, and protect myself from these various DoS vulnerabilities? thanks

This page describes the three vulnerabilities, and provides a solution...if only I were using .NET: http://msdn.microsoft.com/en-us/magazine/ee335713.aspx

UPDATE:

I tried loadXML($s, LIBXML_NOENT); as well. In both cases I end up dumping 300+ MB. Is there something I'm still missing?

我想知道当时同时上传的文件数量。例如，如果数量超过我的限制，我会向用户显示一条消息并道歉，以便稍后尝试。

有没有办法在 PHP 中获取当前正在运行的上传数量？

感谢您的帮助...

我正在做一个 NLP 项目，要求我下载相当多的视频游戏评论——每个网站大约 10,000 条。因此，我将编写一个程序，访问每个 URL 并提取每个页面的评论部分以及一些额外的元数据。

我正在使用 Java，并计划只打开一个 HttpURLConnection 并通过输入流读取文本。然后，关闭连接并打开下一个。

我的问题是这样的：

1) 假设这是一个中小流量的站点：通常，他们每秒收到来自普通用户的大约 1000 个请求。我的程序是否可能会对他们的系统造成过度的压力，从而影响其他人的用户体验？

2）这些连接一个接一个地出现是某种恶意攻击吗？

我是偏执狂，还是这是一个问题？有没有更好的方法来获取这些数据？我要去几个网站，所以与网站管理员单独合作很不方便，而且可能是不可能的。

我从恶意用户那里收到了很多对我的 appengine 应用程序的请求，我怀疑这可能是对 DOS 攻击的尝试。我需要将他们的 IP 地址添加到 GAE 的黑名单中。然而当我看 self.request.remote_addr

我得到的只是我自己的IP地址。如何获取实际向我发送这些请求的客户端的远程 IP？