慢速开机自检漏洞(R U已死)- Express.js -数据速率限制解决方案？

Question

我正在尝试解决我的应用程序中的慢发漏洞问题。

问题：https://blog.qualys.com/securitylabs/2011/07/07/identifying-slow-http-attack-vulnerabilities-on-web-applications

为了限制来自用户的连接数量，我使用了express-rate-limit，这样应用程序就不会变得不可用。

const rateLimit = require('express-rate-limit')

const limiter = rateLimit({   windowMs: 60 * 1000, // 1 minute   max: 100 // limit each IP to 100 requests per windowMs })

app.use(limiter)

但是，如果我尝试使用slowtesttool测试我的应用程序，并使用2个连接运行测试(每秒1个连接，每10秒跟踪一次数据)，我发现这些连接永远不会关闭。

​

我已经将连接设置为超时，如下所示，但它似乎不起作用！

app.use((req, res, next) => {
  req.connection.setTimeout(30000, () => {
    req.socket.end()
  })
  next()
})

有没有一种方法可以限制接受数据的速率，例如，指定我可以等待每一块主体的最大时间？

Answer 1

一种解决方案可能是使用前端use服务器的容量(我假设您将在nginx、apapche、caddy等服务器后面公开您的应用程序...)。

Nginx和caddy都有这个功能，其他人可能也有。