https://tools.ietf.org/html/rfc7233#section-6.1 :
6.1。使用范围的拒绝服务攻击 ......服务器应该忽略,合并或拒绝 恶劣的范围请求,例如两个以上的请求 重叠范围或单个集合中的许多小范围, 特别是当要求范围无序时没有 明显的原因。多部分范围请求不是为了设计的 支持随机访问。 ...
是否有任何定义"单个集合中的许多小范围"?
答案 0 :(得分:1)
一般而言,合理的限制将取决于服务范围的成本,以及客户从远程请求中受益的可能性。
初步缓解指南from SpiderLabs建议对野外实际交通限制五个范围。
implementation in Apache httpd允许多达200个范围,但只有20个可能重叠,或出现乱序。这解决了循环利用的主要病理,它使用了大约六百个重叠范围。
答案 1 :(得分:0)
这肯定在很大程度上取决于您的服务,您认为"超出范围"什么不是。对于作为服务运行的PC而言,严重的是与大型企业网络无法比较。
您基本上需要为特定服务设置条件,以确定正常使用情况和不正常情况,并拒绝超出该范围的任何内容。
与软件中的任何地方一样,您需要放置"警卫"反对各种无效数据或行为。