t4t4v4 3 Zgłoś post Napisano Sierpień 21, 2011 Hej! Niedawno sobie obmyśliłem, jak można kłaść fora internetowe. Sprawdzałem na phpBB by Przemo i phpBB3 - działa, innych nie sprawdzałem. Sposób jest prosty, wystarczy zapętlić cURL'a który wykonuje żądanie do wyszukiwarki forumowej, powiedzmy 1000x na sekundę. Dzięki temu komunikacja pomiędzy skryptem forum a MySQL siada, bo jest przekroczona ilość dozwolonych żądań do bazy. Teraz pytanie - czy jest jakiś sposób na zabezpieczenie skryptu lub całej bazy MySQL przed tego typu atakami które powodują sztuczne żądania? Czy pozostaje tylko filtrowanie ilości żądań via IP i ewentualne filtrowanie tego poprzez dropy? Udostępnij ten post Link to postu Udostępnij na innych stronach
KowR 103 Zgłoś post Napisano Sierpień 21, 2011 Ogranicznik zapytań... Np. 1 wyszukiwanie na 60 sekund. Udostępnij ten post Link to postu Udostępnij na innych stronach
t4t4v4 3 Zgłoś post Napisano Sierpień 21, 2011 Raczej mi chodzi o metodę, która zadziała na cały serwer niż na pojedyncze forum Możesz powiedzieć coś więcej na temat tego limitowania połączeń? Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Sierpień 22, 2011 Sposób opisywany w pierwszym poście zadziała, ale na bardzo licho skonfigurowanych serwerach. W przypadku stosowania fastcgi i hardlimitowaniu maksymalnej liczby instancji PHP użytkownik co najwyżej spowoduje błędy 500 na swoim koncie spowodowane brakiem możliwości odnalezienia wolnego slotu na obsługę żądania. Jeśli chodzi o ograniczenia - to raczej aplikację powinno się antyfloodowo zabezpieczać (phpBB3 też ma opcję ustawienia interwału antyfloodowego). Można też zabezpieczać na poziomie serwera www (zbyt duża ilość odwołań do search.php to dodanie do droptable) - ale to raczej w przypadku, gdy jest to serwer zarządzalny przez nas samych; bo inni klienci mogli by się buntować, że ich klienci są dropowani. No i można próbować ustawiać limity per-user na poziomie bazy (ilości zapytań, ilości połączeń; po zastosowaniu łatek na silnik także i ilość obsłużonych wierszy, ilość zajętego czasu itp.), Udostępnij ten post Link to postu Udostępnij na innych stronach
maminowiec 9 Zgłoś post Napisano Sierpień 22, 2011 Do większości skryptów ( prócz durnego przema ) są gotowe moduły anty-floodowe który ograniczają ilość zapytań. Error , do Przemka też jest .... Udostępnij ten post Link to postu Udostępnij na innych stronach