Что может вызвать внезапные всплески запросов в приложении ASP.NET для определенного сеанса?

Question

Проблема:

Я обнаружил, что некоторые сеансы посылают множество запросов на некоторые из моих страниц .aspx. Некоторые из них также отправляют запросы на мою страницу входа. Я попытался выяснить, является ли это атака по словарю, но при проверке журналов IIS обнаружил, что csBytes не меняется для большого количества запросов. Таким образом, атака по словарю менее вероятна. Затем я проверил, пытается ли кто-нибудь отказать в обслуживании, но это также кажется маловероятным, поскольку всплеск стихает через короткое время (обычно через минуту или около того).

Вот некоторые из шаблонов, которые появились во время моего расследования:

1. Некоторые сеансы посещают мою страницу входа, но очень маленькими пакетами. Пик хитов / мин. (включая javascripts, изображения и т. д., а не только попадания на страницы) в некоторых сеансах доходило до 2 тыс., но общее количество обращений за этот сеанс может составлять 4–5 тыс., что означает, что что-то вызвало скачок, но затем активность вернулась к норме. Из этих сеансов некоторые пользователи также успешно вошли в систему, но они не сделали ничего необычного, а некоторые из них являются доверенными пользователями. Я не подозреваю, что они делают что-то странное. У меня есть догадка, что это может быть вызвано ошибкой в ​​браузере или в нашем приложении.
2. Некоторые сеансы часто посещают страницу входа - около 2,5 тыс. Обращений / мин - но все это GET-запросы, что странно. Это может быть попытка DoS. Общее количество обращений достигло 20 тыс. Для некоторых сеансов, но есть и другие сеансы, в которых пик достиг 0,5 К, но средняя активность в минуту может составлять всего 20 запросов. Большинство из них приходят из Firefox 3.6.x . В настоящее время я проверяю, существует ли какая-либо известная проблема в FF, которая может объяснить это, потому что в этом случае наше приложение даже ничего не делает.

Технические подробности:

• Приложение было разработано в ASP.NET 2.0
• Развернуто на IIS 7
• Браузеры, вызывающие проблемы: Firefox 3.6.x (отправка огромного количества GET ), IE 7/8 ( POST запросы на разные страницы)

Я дал вступительное слово по этому вопросу. Дайте мне знать, если вам нужно больше информации, чтобы копать дальше.

Обновление:
Когда я сказал, что 20 запросов / мин от сеанса - это нормально, я имел в виду все запросы, включая связанные javascripts / images.

Answer 1

Вы пометили это как «Безопасность», поэтому я не уверен на 100%, действительно ли вы ищете возможные ошибки в самом приложении, которые могут вызвать это, но в любом случае ...

Эти показателиопределенно не «естественный» - ни один нормальный физический пользователь даже (пере) не загружал бы страницу «просто» 20 раз в минуту, а тем более в другое время, которое вы показывали.

Сначала я бы посмотрел наполезные данные запросов подробно и убедитесь, что там нет ничего вредоносного.У вас есть много записей в журнале, в которых, кажется, есть что-то большее, чтобы увидеть, если вы испытываете атаки словарного типа, или, возможно, что-то еще, например, поиск уязвимостей XSS или SQL-инъекций.Многие из ваших «всплесков», кажется, предлагают какое-то простое исследование уязвимости, возможно, в отличие от атак по словарю.

Но методология (и в действительности любые инструменты / процессы, которые вы бы использовали) для смягчения атак очень отличается отвы будете делать для потенциальных ошибок приложения, вызывающих непреднамеренные запросы.

---

Для этого я бы связал часто загружаемые URL-адреса с информацией referer в журналах для этих запросов и проверил, чторефереры способны создавать такие URL;возможно, динамически, или даже на стороне клиента, через Ajax.Фактически причиной может быть неправильное использование обновлений Ajax.Но если все значения referer для этих попаданий являются «неправильными» или недействительными, это скорее всего какая-то атака или зонд, возможно , а не ошибка приложения.

Но еслиИнформация о реферере действительно приводит к правильной странице, тогда вам по крайней мере есть, что посмотреть.