DOS攻撃の「スローポスト」:IIS
IIS 7.5単一のASP.NET Webサイトを実行している7.5 Webサーバーがあり、セキュリティスキャンの1つに失敗し、「スローポスト」の脆弱性がありました。
サイトのweb.configでhttpruntime executiontimeout値を減らしてみましたが、サイトはまだセキュリティスキャンに失敗しています。
だれでもIIS設定/構成を推奨し、遅いpost dos攻撃を防止しますか?
編集:これを防止する唯一の方法は、グローバルでbeginrequest subのヘッダーを見て、アプリケーションでそれを行うことです.asxおよびコンテンツの種類に基づいて、応答を終了/閉じる...
ツールはこれで脆弱性をテストすることをお勧めします: https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool しかし、私は実際に行うことができるiis構成があるかどうかを識別しようとしています修理する。
遅い投稿: "HTTP POST DDOS攻撃の仕組み(HTTP/1.0)(続き)
- たとえば、Content-Length = 1000(bytes)の場合、HTTPメッセージ本文は適切にURLエンコードされますが、..
- .....また、例えば、110秒ごとに1バイトで送信されます。
- このような接続に20,000を掛けると、IIS WebサーバーはDDOSになります。
- ほとんどのWebサーバーは、1つのHTTP POSTリクエストで最大2GBのコンテンツを受け入れることができます。
ref: https://media.blackhat.com/bh-dc-11/Brennan/BlackHat_DC_2011_Brennan_Denial_Service-Slides.pdf
IISには、ネイティブでのレートスロットリングはありません(または、この場合、負のレートスロットリングだと思います)。動的IP制限モジュールをチェックアウトできます( http://www.iis.net/download/DynamicIPRestrictions )。これが具体的にチェックされるとは思いませんが、覗く価値はあります。
これをチェックすると、ファイアウォールIDSフィルタリングでより良いチャンスになる可能性があります。このタイプの攻撃をチェックするためのサポートがあるかもしれません。
セキュリティスキャンは、何がトリガーされたかを通知する必要があります。
実行タイムアウトをどのくらい低く設定しましたか?低下する他の何か(この攻撃を軽減するにはかなり低くする必要があります..)は接続タイムアウトです。
ただし、これらの緩和策の重要な点は、攻撃を完全に防止するのではなく、攻撃するリソースの量ごとに攻撃力を弱めることです。セキュリティスキャンのしきい値設定はかなり任意の数である可能性が高く、その数を下回ったからといって攻撃の影響を受けなくなるわけではありません。
これはOTTである可能性があり、必要なことを実行しない場合もありますが、一見の価値があるかもしれません http://www.snort.org/http://www.sans.org/security -resources/idfaq/snort.php
テストで、QualysがURLにフラグを立てていることがわかりました。サーバーは、リクエストの完了を待つ間、接続を500秒間開いたままにしているためです。
応答が遅いときに接続を開いたままにするために編集したパラメーターはminBytesPerSecondです。デフォルト値は250です。400に設定します