我有一个面向公众的IIS 7.5 Web服务器,运行一个单独的ASP.NET网站,这个网站在我们的安全扫描中发现了一个“缓慢”的漏洞。
已尝试降低该站点的web.config中的httpruntime executiontimeout值,但该站点仍然无法执行安全扫描。
任何人有任何build议到IIS设置/configuration,以防止缓慢的DOS后攻击?
编辑:我想唯一的方法可能会阻止这是在应用程序中,在global.asx beginrequest子查看头,并根据内容的种类,结束/closures响应…
该工具build议使用此testing漏洞: https : //www.owasp.org/index.php/OWASP_HTTP_Post_Tool但是我真的只是试图确定是否有任何iisconfiguration可以做到解决它。
缓慢的post:“ HTTP POST DDOS攻击如何工作(HTTP / 1.0)(续)
ref: https : //media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
IIS本身没有任何速率限制(或者我猜这是在这种情况下负面限制速度)。 您可以查看dynamicIP限制模块( http://www.iis.net/download/DynamicIPRestrictions )。 我不相信它会检查这个具体的,但它是值得一看。
检查这可能会有更好的机会在您的防火墙IDS过滤。 在那里可能会有支持检查这种types的攻击。
你的安全扫描应该告诉你它触发了什么。
你设置执行超时的时间有多低? 还有一些东西要降低(它必须相当低,才能减轻这种攻击..)将是连接超时。
但是,这些缓解措施是,他们不能完全防止这种攻击,只是使其在攻击资源量上变得不那么有效。 您的安全扫描的阈值设置可能是一个相当随意的数字,达到这个数字并不意味着你是免疫的攻击。
这可能是OTT,甚至可能不做你想做的,但可能值得一看http://www.snort.org/ http://www.sans.org/security-resources/idfaq/snort.php