问题:
我发现某些会话正在向我的某些.aspx页面发送大量请求。其中一些人也在向我的登录页面发送请求。我试图找出这是否是字典攻击但是在检查IIS日志时发现csBytes对于大量请求没有变化。因此,字典攻击的可能性较小。然后,我检查是否有人正在尝试拒绝服务,但这似乎也不太可能,因为爆发在短时间内(通常在一分钟左右后)消退。
我在进行调查时出现的一些模式是:
技术细节:
我在这个问题上给出了一个简单的介绍。如果您需要更多信息需要进一步挖掘,请告诉我。
更新
当我说来自会话的20个请求/分钟是正常的时,我的意思是所有请求,包括相关的javascripts / images。
答案 0 :(得分:1)
你用'安全'标记了这一点,所以我不是百分百确定你是否真的在应用程序本身寻找可能导致这种情况的错误,但无论如何...
这些费率肯定不是“自然的” - 没有正常的,物理用户甚至(重新)每分钟加载一次“仅仅”20次,更不用说你展示的其他时间了。
我首先会深入查看请求的有效负载,并确保没有任何恶意内容。您有很多日志条目似乎需要查看更多内容,以查看您是否遇到字典类型的攻击,或者甚至是其他问题,例如探测XSS或SQL注入漏洞。你的许多“喷射”似乎暗示了一些简单的漏洞探测,可能与字典攻击相反。
但是,用于缓解攻击的方法(实际上,您将使用的任何工具/流程)与针对可能导致意外请求的潜在应用程序错误所做的非常不同。
为此,我会将频繁加载的URL与这些请求的日志中的referer信息进行交叉引用,并验证引用者是否能够生成此类URL;也许是通过Ajax动态地,甚至是客户端。事实上,错误使用的Ajax更新实际上可能是原因。但是,如果这些匹配中的所有referer值都“不正确”或无效,则可能是某种攻击或探测,可能而不是app bug。
但如果引用信息确实导致了有效页面,那么至少你可以在某个地方看一下。