DoS phpBB by Przemo i phpBB3 - zabezpieczenie MySQL

[t4t4v4 3]

Hej!

Niedawno sobie obmyśliłem, jak można kłaść fora internetowe. Sprawdzałem na phpBB by Przemo i phpBB3 - działa, innych nie sprawdzałem. Sposób jest prosty, wystarczy zapętlić cURL'a który wykonuje żądanie do wyszukiwarki forumowej, powiedzmy 1000x na sekundę. Dzięki temu komunikacja pomiędzy skryptem forum a MySQL siada, bo jest przekroczona ilość dozwolonych żądań do bazy.

Teraz pytanie - czy jest jakiś sposób na zabezpieczenie skryptu lub całej bazy MySQL przed tego typu atakami które powodują sztuczne żądania? Czy pozostaje tylko filtrowanie ilości żądań via IP i ewentualne filtrowanie tego poprzez dropy?

[KowR 103]

Ogranicznik zapytań... Np. 1 wyszukiwanie na 60 sekund.

[t4t4v4 3]

Raczej mi chodzi o metodę, która zadziała na cały serwer niż na pojedyncze forum

Możesz powiedzieć coś więcej na temat tego limitowania połączeń?

[kafi 2425]

Sposób opisywany w pierwszym poście zadziała, ale na bardzo licho skonfigurowanych serwerach.

W przypadku stosowania fastcgi i hardlimitowaniu maksymalnej liczby instancji PHP użytkownik co najwyżej spowoduje błędy 500 na swoim koncie spowodowane brakiem możliwości odnalezienia wolnego slotu na obsługę żądania.

 

Jeśli chodzi o ograniczenia - to raczej aplikację powinno się antyfloodowo zabezpieczać (phpBB3 też ma opcję ustawienia interwału antyfloodowego). Można też zabezpieczać na poziomie serwera www (zbyt duża ilość odwołań do search.php to dodanie do droptable) - ale to raczej w przypadku, gdy jest to serwer zarządzalny przez nas samych; bo inni klienci mogli by się buntować, że ich klienci są dropowani.

No i można próbować ustawiać limity per-user na poziomie bazy (ilości zapytań, ilości połączeń; po zastosowaniu łatek na silnik także i ilość obsłużonych wierszy, ilość zajętego czasu itp.),

[maminowiec 9]

Do większości skryptów ( prócz durnego przema ) są gotowe moduły anty-floodowe który ograniczają ilość zapytań.

 

 

Error , do Przemka też jest ....