Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security HTTP慢速Post和IIS设置以防止_Security_Iis_Web_Iis 8 - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security HTTP慢速Post和IIS设置以防止

Security HTTP慢速Post和IIS设置以防止

security iis web

Security HTTP慢速Post和IIS设置以防止,security,iis,web,iis-8,Security,Iis,Web,Iis 8,因此,我们从一家安全公司得到的报告称,运行在IIS 8.0上的MVC网站容易受到HTTP post DoS攻击。报告说我们应该 限制请求属性通过元素, 特别是maxAllowedContentLength、maxQueryString和maxUrl 属性 设置以配置标头的类型和大小 web服务器将接受 调整connectionTimeout, 和元素,以最大限度地减少慢速HTTP攻击的影响 问题是我很难找到关于如何设置这些值的建议。minBytesPerSecond是默认值240,但它应该

因此,我们从一家安全公司得到的报告称,运行在IIS 8.0上的MVC网站容易受到HTTP post DoS攻击。报告说我们应该

  • 限制请求属性通过
    元素, 特别是maxAllowedContentLength、maxQueryString和maxUrl 属性
  • 设置
    以配置标头的类型和大小 web服务器将接受
  • 调整connectionTimeout,

    元素,以最大限度地减少慢速HTTP攻击的影响
问题是我很难找到关于如何设置这些值的建议。minBytesPerSecond是默认值240,但它应该是什么来防止慢速对手攻击呢

干杯
Jens

所以,最终遵循了这家伙的建议:

在我们的测试中,我们发现Qualys正在标记URL,因为服务器在等待请求完成时保持连接打开500秒

我们为使连接在慢速响应期间保持打开状态而编辑的参数是
minBytesPerSecond
。默认值为250。我们把它设为400

此类设置的困难在于,您必须观察web应用程序的实际值,然后设置一个适度的限制。其他人不会提供指导,因为他们的应用程序不同。您无法通过设置限制来解决此类安全问题,但适当的限制可以降低风险。您是对的,但如何观察实际值?IIS日志文件包含“所用时间”字段。将它们导入数据库并启动数据挖掘。也可能有一些自动工具。好的,用InShang分析我的IIS日志会给我一个页面,平均发送的字节数为1567,平均花费的时间为1656ms。这是否意味着页面以每秒1567/1656=946字节的速度发送?两年后,这些设置似乎根本不起作用。我们仍然从我们的安全供应商那里得到关于慢速Http Post漏洞的相同报告。