我刚刚读到了关于HashDoS的新技术DoS。 有关它的详细信息,https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/
这种DoS技术POST大量参数并触发哈希表算法的最坏情况。 Web服务器将花费更多时间来完成这项工作。
他们说:因此,您可以保留大约10,000个Core i7 CPU内核忙于处理PHP 请求使用千兆位互联网连接。或者替代 ASP.NET,30,000个Core2 CPU内核,或者用于Java Tomcat 100,000 Core i7 可以保留CPU内核或CRuby 1.8 1,000,000 Core i7 CPU内核 忙于一个千兆连接。
所以,我想限制我公司网站POST内容中的参数数量。 我知道modsecurity可以做到这一点,但我不熟悉modsecurity。
提前致谢。
答案 0 :(得分:0)
Modsecurity可以限制参数的总长度,但不能限制参数的总长度。最近使用此功能更新了一个模块(它处于测试阶段):ModIfier:http://yoyo.org/~steve/mod_ifier.html
答案 1 :(得分:0)
我花了一些时间来了解modsecurity。 然后我在文件modsecurity_crs_23_request_limits.conf中找到了OWASP Modsecurity核心规则集,其中有一条规则限制了请求中的参数数量。
在我公司的网络服务器上,也使用modsecurity核心规则,但是没有这个文件。我不知道为什么:(
你可以在这里看到它(从第30行): http://mod-security.svn.sourceforge.net/viewvc/mod-security/crs/tags/2.2.3/base_rules/modsecurity_crs_23_request_limits.conf?revision=1882&view=markup
答案 2 :(得分:0)
你可以在这里找到一篇很好的文章来描述mod_security选项:http://blog.spiderlabs.com/2012/01/modsecurity-mitigations-for-aspnet-hashtable-dos-vulnerability-cve-2011-3414.html