Skocz do zawartości
Zaloguj się, aby obserwować  
t4t4v4

DoS phpBB by Przemo i phpBB3 - zabezpieczenie MySQL

Polecane posty

Hej!

Niedawno sobie obmyśliłem, jak można kłaść fora internetowe. Sprawdzałem na phpBB by Przemo i phpBB3 - działa, innych nie sprawdzałem. Sposób jest prosty, wystarczy zapętlić cURL'a który wykonuje żądanie do wyszukiwarki forumowej, powiedzmy 1000x na sekundę. Dzięki temu komunikacja pomiędzy skryptem forum a MySQL siada, bo jest przekroczona ilość dozwolonych żądań do bazy.

Teraz pytanie - czy jest jakiś sposób na zabezpieczenie skryptu lub całej bazy MySQL przed tego typu atakami które powodują sztuczne żądania? Czy pozostaje tylko filtrowanie ilości żądań via IP i ewentualne filtrowanie tego poprzez dropy?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ogranicznik zapytań... Np. 1 wyszukiwanie na 60 sekund. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Raczej mi chodzi o metodę, która zadziała na cały serwer niż na pojedyncze forum :)

Możesz powiedzieć coś więcej na temat tego limitowania połączeń?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sposób opisywany w pierwszym poście zadziała, ale na bardzo licho skonfigurowanych serwerach.

W przypadku stosowania fastcgi i hardlimitowaniu maksymalnej liczby instancji PHP użytkownik co najwyżej spowoduje błędy 500 na swoim koncie spowodowane brakiem możliwości odnalezienia wolnego slotu na obsługę żądania.

 

Jeśli chodzi o ograniczenia - to raczej aplikację powinno się antyfloodowo zabezpieczać (phpBB3 też ma opcję ustawienia interwału antyfloodowego). Można też zabezpieczać na poziomie serwera www (zbyt duża ilość odwołań do search.php to dodanie do droptable) - ale to raczej w przypadku, gdy jest to serwer zarządzalny przez nas samych; bo inni klienci mogli by się buntować, że ich klienci są dropowani.

No i można próbować ustawiać limity per-user na poziomie bazy (ilości zapytań, ilości połączeń; po zastosowaniu łatek na silnik także i ilość obsłużonych wierszy, ilość zajętego czasu itp.),

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do większości skryptów ( prócz durnego przema :) ) są gotowe moduły anty-floodowe który ograniczają ilość zapytań.

 

 

Error , do Przemka też jest ....

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

Zaloguj się, aby obserwować  

×