Hej!
Niedawno sobie obmyśliłem, jak można kłaść fora internetowe. Sprawdzałem na phpBB by Przemo i phpBB3 - działa, innych nie sprawdzałem. Sposób jest prosty, wystarczy zapętlić cURL'a który wykonuje żądanie do wyszukiwarki forumowej, powiedzmy 1000x na sekundę. Dzięki temu komunikacja pomiędzy skryptem forum a MySQL siada, bo jest przekroczona ilość dozwolonych żądań do bazy.
Teraz pytanie - czy jest jakiś sposób na zabezpieczenie skryptu lub całej bazy MySQL przed tego typu atakami które powodują sztuczne żądania? Czy pozostaje tylko filtrowanie ilości żądań via IP i ewentualne filtrowanie tego poprzez dropy?
0
DoS phpBB by Przemo i phpBB3 - zabezpieczenie MySQL
Rozpoczęte przez Avatat, sie 21 2011 19:01
5 odpowiedzi na ten temat
DoS phpBB by Przemo i phpBB3 - zabezpieczenie MySQL
#2
-
- Firma Bronze
- 55 postów
Często na forum
- Skąd:Będzin/Sosnowiec
- Firma:P.H.U "KOWR"
- Imię:Robert
- Nazwisko:Kowalski
Napisany 21 sierpień 2011 - 19:40
Ogranicznik zapytań... Np. 1 wyszukiwanie na 60 sekund. 
www.kowr.eu
Fejsujesz? Zostań naszym fanem: http://www.facebook.com/KowR.eu
Fejsujesz? Zostań naszym fanem: http://www.facebook.com/KowR.eu
#3
-
- WHT Pro
-
- 506 postów
Weteran WHT
- Skąd:Amsterdam
- Firma:Rackspace.com
- Imię:Kamil
Napisany 21 sierpień 2011 - 19:51
Do większości skryptów ( prócz durnego przema ) są gotowe moduły anty-floodowe który ograniczają ilość zapytań.
) są gotowe moduły anty-floodowe który ograniczają ilość zapytań.
#4
-
- WHT Pro
- 70 postów
Często na forum
- Skąd:Zamość
- Imię:Bartosz
Napisany 21 sierpień 2011 - 20:40
Raczej mi chodzi o metodę, która zadziała na cały serwer niż na pojedyncze forum
Możesz powiedzieć coś więcej na temat tego limitowania połączeń?
Możesz powiedzieć coś więcej na temat tego limitowania połączeń?
#5
-
- WHT Pro
-
- 2540 postów
Weteran WHT
Napisany 22 sierpień 2011 - 01:15
Sposób opisywany w pierwszym poście zadziała, ale na bardzo licho skonfigurowanych serwerach.
W przypadku stosowania fastcgi i hardlimitowaniu maksymalnej liczby instancji PHP użytkownik co najwyżej spowoduje błędy 500 na swoim koncie spowodowane brakiem możliwości odnalezienia wolnego slotu na obsługę żądania.
Jeśli chodzi o ograniczenia - to raczej aplikację powinno się antyfloodowo zabezpieczać (phpBB3 też ma opcję ustawienia interwału antyfloodowego). Można też zabezpieczać na poziomie serwera www (zbyt duża ilość odwołań do search.php to dodanie do droptable) - ale to raczej w przypadku, gdy jest to serwer zarządzalny przez nas samych; bo inni klienci mogli by się buntować, że ich klienci są dropowani.
No i można próbować ustawiać limity per-user na poziomie bazy (ilości zapytań, ilości połączeń; po zastosowaniu łatek na silnik także i ilość obsłużonych wierszy, ilość zajętego czasu itp.),
W przypadku stosowania fastcgi i hardlimitowaniu maksymalnej liczby instancji PHP użytkownik co najwyżej spowoduje błędy 500 na swoim koncie spowodowane brakiem możliwości odnalezienia wolnego slotu na obsługę żądania.
Jeśli chodzi o ograniczenia - to raczej aplikację powinno się antyfloodowo zabezpieczać (phpBB3 też ma opcję ustawienia interwału antyfloodowego). Można też zabezpieczać na poziomie serwera www (zbyt duża ilość odwołań do search.php to dodanie do droptable) - ale to raczej w przypadku, gdy jest to serwer zarządzalny przez nas samych; bo inni klienci mogli by się buntować, że ich klienci są dropowani.
No i można próbować ustawiać limity per-user na poziomie bazy (ilości zapytań, ilości połączeń; po zastosowaniu łatek na silnik także i ilość obsłużonych wierszy, ilość zajętego czasu itp.),
#6
-
- Użytkownicy
-
- 127 postów
Stały użytkownik
Napisany 22 sierpień 2011 - 16:02
Devil, o 21 sierpień 2011 - 19:51, powiedział:
Do większości skryptów ( prócz durnego przema ) są gotowe moduły anty-floodowe który ograniczają ilość zapytań.
) są gotowe moduły anty-floodowe który ograniczają ilość zapytań.Error , do Przemka też jest ....
1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych użytkowników
Najlepiej oceniane firmy
-
IDHosting
Ilość ocen: 15 -
Biznes-Host.pl / Logout.pl
Ilość ocen: 15 -
MyDevil.net
Ilość ocen: 13
Zobacz cały ranking
Najnowsze opinie
-
Biznes-Host.pl / Logout.pl
Jakość obsługi/supportu znakomita. Poleciłem znajomemu u nich konto hostingowe, ze względu na limity... quickest -
IDHosting
Co do usług jeszcze nie miałem czasu sprawdzić, jednak muszę powiedzieć ze support spisuje się na 6+... lord101 -
IDHosting
Szybko, tanio, sprawnie, bezproblemowo. Świetny kontakt. Od tej firmy inni mogliby się uczyć. flaszek -
IDHosting
Mamy u nich serwer dedykowany z Windowsem. Wspolpraca przebiega bez zastrzen. Dostepnosc serwera na ... kkbis -
MyDevil.net
Najszybsza obsługa, Najlepsza firma najbardziej polecana Korzystam od sierpnia i bezproblemowo Cad0s
Zobacz wszystkie opinie
Ranking użytkowników
- Miłosz 190
- samu 62
- regdos 56
- www.mzone-net.eu 53
- Aimer 49
Najpopularniejsze tematy dzisiaj
Znajdź domenę
Ponad 129562 raportów w bazie!
