Настроить modsecurity для ограничения количества параметров?

Question

Я только что прочитал о новой технике DoS, которая называется HashDoS. Подробности об этом https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

Эта техника DoS POST большого количества параметров и запускает наихудший случай алгоритма хеширования. Веб-сервер займет больше времени, чтобы сделать работу.

Они сказали:

Таким образом, вы можете держать около 10.000 ядер Core i7 CPU занятыми обработкой PHP запросы с использованием гигабитного подключения к интернету. Альтернативно для ASP.NET, 30 000 процессорных ядер Core2 или для Java Tomcat 100 000 Core i7 Ядра ЦП, или для CRuby 1.8, 1 000 000 ядер ЦП Core i7, могут быть сохранены занят одним гигабитным соединением.

Итак, я хочу ограничить количество параметров в содержимом POST для веб-сайта моей компании. Я знаю, что modsecurity может это сделать, но я не знаком с modsecurity.

Заранее спасибо.

Answer 1

Мне потребовалось некоторое время, чтобы понять modsecurity. Затем я нашел основной набор правил OWASP Modsecurity, в файле modsecurity_crs_23_request_limits.conf было правило, ограничивающее количество аргументов в запросе.

На веб-сервере моей компании тоже используется основное правило modsecurity, но там нет этого файла. Я не знаю почему: (

Вы можете увидеть это здесь (из строки 30): http://mod -security.svn.sourceforge.net / ViewVC / мод-безопасности / CRS / теги / 2.2.3 / base_rules / modsecurity_crs_23_request_limits.conf? Пересмотр = 1882 & вид = Разметка

Answer 2

Вы можете найти отличную статью, описывающую опции mod_security для защиты этого здесь: http://blog.spiderlabs.com/2012/01/modsecurity-mitigations-for-aspnet-hashtable-dos-vulnerability-cve-2011-3414.html

Answer 3

Modsecurity может ограничивать общую длину, но не количество параметров. Недавно был обновлен модуль с этой функцией (он находится в бета-версии): ModIfier: http://yoyo.org/~steve/mod_ifier.html