DOS 攻擊“慢帖”:如何在 IIS 中進行防範
我有一個面向公眾的 IIS 7.5 Web 伺服器,執行單個 ASP.NET 網站,它剛剛通過“慢發布”漏洞未能通過我們的一次安全掃描。
已嘗試減少站點 web.config 中的 httpruntime executiontimeout 值,但站點仍然無法通過安全掃描。
有人對 IIS 設置/配置有任何建議,以防止緩慢的 post dos 攻擊嗎?
編輯: 我認為可能防止這種情況的唯一方法是在應用程序中執行此操作,查看 global.asx 中 beginrequest 子中的標頭並根據內容類型,結束/關閉響應…
該工具建議使用以下方法測試漏洞:https ://www.owasp.org/index.php/OWASP_HTTP_Post_Tool但我真的只是想確定是否有任何 iis 配置可以修復它。
慢帖:“ HTTP POST DDOS 攻擊的工作原理(HTTP/1.0)(續)
- 例如,Content-Length = 1000 (bytes) HTTP 消息體是正確的 URL 編碼的,但是 ..
- ……再次以每 110 秒 1 個字節發送。
- 將此類連接乘以 20,000,您的 IIS Web 伺服器將成為 DDOS。
- 大多數 Web 伺服器可以在單個 HTTP POST 請求中接受高達 2GB 的內容。
參考:https ://media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
IIS 本身沒有任何速率限制(或者我猜在這種情況下它是負速率限制)。您可以查看動態 IP 限制模組 ( http://www.iis.net/download/DynamicIPRestrictions )。我不相信它會專門檢查這一點,但值得一看。
對此進行檢查可能對您的防火牆 IDS 過濾有更好的機會。那裡可能支持檢查這種類型的攻擊。
您的安全掃描應該告訴您它觸發了什麼。
您將執行超時設置得有多低?其他要降低的東西(它必須非常低才能減輕這種攻擊..)將是連接超時。
但是,這些緩解措施的問題是它們並不能完全阻止攻擊,只是降低了攻擊資源量的強度;安全掃描的門檻值設置可能是一個相當隨意的數字,低於該數字並不意味著您對攻擊免疫。