我有一个面向公众的 IIS 7.5 Web 服务器,其中运行着一个 ASP.NET 网站,该网站刚刚因“慢速发布”漏洞而未能通过我们的一次安全扫描。
已尝试减少站点的 web.config 中的 httpruntime 执行超时值,但站点仍然无法通过安全扫描。
有谁对 IIS 设置/配置有什么建议可以防止慢速后 dos 攻击吗?
编辑: 我认为可能防止这种情况的唯一方法是在应用程序中执行此操作,查看 global.asx 中 beginrequest 子中的标题并根据内容类型结束/关闭响应...
该工具建议使用以下方法测试漏洞:https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool但我真的只是想确定是否有任何 iis 配置可以修复它。
慢速发帖:“ HTTP POST DDOS 攻击的工作原理(HTTP/1.0)(续)
- 例如,Content-Length = 1000(字节)HTTP 消息正文已正确进行 URL 编码,但是......
- .....再次以例如每 110 秒 1 字节的速度发送。
- 将此类连接数乘以 20,000,您的 IIS Web 服务器就会遭受 DDOS 攻击。
- 大多数 Web 服务器可以在单个 HTTP POST 请求中接受最多 2GB 的内容。
參考文獻:https://media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
答案1
IIS 本身没有任何速率限制(或者我猜在这种情况下是负速率限制)。您可以查看动态 IP 限制模块(http://www.iis.net/download/DynamicIPRestrictions)。我不相信它会专门检查这一点,但值得一看。
检查此项可能会增加防火墙 IDS 过滤的成功率。防火墙可能支持检查此类攻击。
答案2
您的安全扫描应该会告诉您它引发了什么问题。
您将执行超时设置得有多低?另一个需要降低的因素(必须非常低才能缓解这种攻击……)是连接超时。
但是,这些缓解措施的问题在于,它们不能完全阻止攻击,只能根据攻击资源的数量降低攻击的效力;安全扫描的阈值设置可能是一个非常任意的数字,低于该数字并不意味着您对攻击免疫。
答案3
在我们的测试中,我们发现 Qualys 标记该 URL 是因为服务器保持连接打开 500 秒等待请求完成。
我们编辑的用于在响应缓慢时保持连接打开的参数是minBytesPerSecond
。默认值为 250。我们将其设置为 400
答案4
这可能有点夸张,甚至可能达不到你想要的效果,但还是值得一看 http://www.snort.org/ http://www.sans.org/security-resources/idfaq/snort.php