ASP.NET中使用状态服务器会话的DDOS攻击

在任何地方都找不到此问题

使用ASP.NET 3.5，我在一个web服务器场中有3台web服务器，使用ASP.NET状态服务器（在另一台服务器上）

所有页面都使用会话（它们读取并更新会话）

问题：我的页面容易受到DDOS攻击，攻击非常容易，只需转到任何页面，按住“F5”键30-60秒，请求就会堆积在所有web服务器中

我了解到，如果您多次调用会话，每个会话都将锁定会话，因此另一个请求必须等待以获得相同用户的会话，这种等待最终会导致DDOS

我们的解决方案非常原始，从阻止（母版页、自定义控件）调用会话，只允许页面调用，到添加禁用F5键的javascript

我刚刚意识到ASP.NET与session很容易受到此类DDOS攻击

有人面临类似的问题吗？有没有全球/优雅的解决方案？请分享 谢谢

检查以下内容：

: IIS的动态IP限制扩展为IT专业人员和主机提供了一个可配置的模块，该模块通过临时阻止HTTP客户端的Internet协议（IP）地址，从而帮助缓解或阻止拒绝服务攻击或通过暴力破解密码，而HTTP客户端遵循的模式可能有助于此类攻击之一。可以配置此模块，以便在Web服务器或Web站点级别进行分析和阻止

此外，请检查以下内容：

: 大多数站点/数据中心将通过硬件而不是软件控制（D）DOS攻击。防火墙、路由器、负载平衡器等。在IIS的应用程序级别上使用这些是无效的或不可取的。我不想这样的膨胀减慢速度

此外，DDOS防范是一个复杂的设置，甚至有死掉的硬件盒，只是为了用不同的规则和分析来处理它，这需要大量的处理能力

---

查看您的web环境基础设施，查看设置，查看硬件提供的保护，如果是问题，请查看专用硬件解决方案。您应该在链中尽快阻止DDOS攻击，而不是在Web服务器级别的末尾

好吧，为了最优雅的解决方案；必须在

网络级别执行此操作。
由于“几乎”不可能区分DDOS攻击和有效会话流量，因此需要在网络流量上运行学习算法；大多数企业级web应用程序需要网络级DDOS防御程序。这些都是非常昂贵且更稳定的DDOS解决方案。您可以询问您的数据中心，他们是否有DDOS defender硬件，如果有，他们可以将您的服务器流量放在设备后面。
该市场的两个主要竞争对手：


我们在工作中遇到了同样的问题。它尚未解决，但我们正在考虑的两个解决办法是：

更改会话状态提供程序，使其不会锁定
一场如果您的应用程序逻辑允许
升级会话状态服务器以使其更快（例如SQL 2016内存中会话状态）。这使得用户更难引起问题，这意味着你的应用程序应该恢复得更快
我的问题是，我的用户是学校，而做DDOS的用户是学生，他们可能很无聊，所以他们按住F5，看看会发生什么。我不能禁止他们的Ip，好像我在学校做的一切都将无法访问它。我想知道我是否需要将我的状态服务从状态服务器更改为其他服务？因为这似乎与状态服务器行为有关。我们已在所有web服务器上安装了动态IP限制，并且问题似乎没有发生。此处可以找到所有希望在代理后使用动态IP限制的人的建议阅读：。另外，这个模块已经安装好了，所以不需要手动安装。硬件的问题是成本。（尽可能不增加硬件/安装成本。）因为它似乎与代码/技术非常相关。如果我不使用session，那么我就不会有这个问题（更确切地说，我不会受到如此严重的影响），我必须说它非常昂贵，比如10万美元的标价。不使用会话可以工作，但由于请求计数的原因，IIS上也可能出现饱和。我们已经转到SQL会话状态，但不是SQL 2016，而是SQL08（我不知道是否更好，但我现在可以“查看”活动会话）。“内存会话”是否仅适用于“标准版和更高版本”？在应对DDOS方面，最有效的方法似乎是使用CDN/DDOS保护服务（如incapsula/cloudflare）。