Security HTTP慢速Post和IIS设置以防止
因此,我们从一家安全公司得到的报告称,运行在IIS 8.0上的MVC网站容易受到HTTP post DoS攻击。报告说我们应该Security HTTP慢速Post和IIS设置以防止,security,iis,web,iis-8,Security,Iis,Web,Iis 8,因此,我们从一家安全公司得到的报告称,运行在IIS 8.0上的MVC网站容易受到HTTP post DoS攻击。报告说我们应该 限制请求属性通过元素, 特别是maxAllowedContentLength、maxQueryString和maxUrl 属性 设置以配置标头的类型和大小 web服务器将接受 调整connectionTimeout, 和元素,以最大限度地减少慢速HTTP攻击的影响 问题是我很难找到关于如何设置这些值的建议。minBytesPerSecond是默认值240,但它应该
- 限制请求属性通过
元素, 特别是maxAllowedContentLength、maxQueryString和maxUrl 属性李> - 设置
以配置标头的类型和大小 web服务器将接受李> - 调整connectionTimeout,
和
元素,以最大限度地减少慢速HTTP攻击的影响
Jens所以,最终遵循了这家伙的建议:
在我们的测试中,我们发现Qualys正在标记URL,因为服务器在等待请求完成时保持连接打开500秒 我们为使连接在慢速响应期间保持打开状态而编辑的参数是
minBytesPerSecond
。默认值为250。我们把它设为400
此类设置的困难在于,您必须观察web应用程序的实际值,然后设置一个适度的限制。其他人不会提供指导,因为他们的应用程序不同。您无法通过设置限制来解决此类安全问题,但适当的限制可以降低风险。您是对的,但如何观察实际值?IIS日志文件包含“所用时间”字段。将它们导入数据库并启动数据挖掘。也可能有一些自动工具。好的,用InShang分析我的IIS日志会给我一个页面,平均发送的字节数为1567,平均花费的时间为1656ms。这是否意味着页面以每秒1567/1656=946字节的速度发送?两年后,这些设置似乎根本不起作用。我们仍然从我们的安全供应商那里得到关于慢速Http Post漏洞的相同报告。