我在Windows 2012 R2上的IIS 8.5下运行了一个ASP.NET站点。
我尝试使用 MinBytesPerSecond 配置设置(在applicationHost \ WebLimits中)作为缓解慢速HTTP POST攻击的策略的一部分,但似乎无法将IIS发送到尊重价值。我尝试过默认的240字节/秒加上更高的值。
我使用OWASP / ProactiveRISK的SwitchBlade以1字节/秒的速度将POST主体涓流到服务器但无法让它断开连接。
建议在网上关于慢速DOS攻击的一些文章中使用MinBytesPerSecond,所以我很惊讶我遇到了困难。我在每次设置更改后重新启动了IIS以防万一。
此设置是否可以由另一个可能未运行的进程监控?
任何想法,需要考虑的事项或备选方案都会受到高度赞赏。
修改
在IIS配置参考here中注意到这一点,minBytesPerSecond ...
指定HTTP.sys在 向客户端发送响应 时强制执行的最小吞吐率(以字节为单位)。 minBytesPerSecond属性通过使用最少的数据保持连接打开来防止恶意或故障的软件客户端使用资源。如果吞吐率低于minBytesPerSecond设置,则终止连接。
这是否意味着此设置仅适用于返回响应的速率,即只能用于慢速读取 - 是否有人对minBytesPerSecond有任何知识或经验?< / p>
感谢。
答案 0 :(得分:0)
我也被同样的问题带到这里。您的最后一段要钉牢。我已经使用Postman和NetLimiter进行了测试,以模拟慢速上载和慢速下载速率。我可以确认minBytesPerSecond设置适用于将数据发送回客户端,即响应而不是请求。
我只能想象此设置相对于防范缓慢的HTTP post攻击已被误解了,因为我看不到在缓解此类攻击方面会有什么用。公平地说,我认为文档具有误导性。