DOS攻击“慢发”：如何在IIS中预防

Question

我有一个面对IIS7.5Web服务器的公众正在运行一个ASP.NET网站，它刚刚失败了我们的一次安全扫描，出现了一个“缓慢发布”漏洞。

尝试减少站点web.config中的httpruntime executiontimeout值，但该站点仍未通过安全扫描。

有人对IIS设置/配置有什么建议来防止缓慢的dos攻击吗？

编辑:我认为防止这种情况的唯一方法是在应用程序中这样做，查看global.asx中的初学者请求子文件中的标题，并根据内容的类型结束/关闭响应.

该工具建议使用以下方法测试该漏洞：https://www.owasp.org/index.php/OWASP_HTTP_帖子_工具，但我实际上只是试图确定是否可以进行任何iis配置来修复它。

慢帖：“HTTP攻击是如何工作的(HTTP/1.0) (续)

1. 例如，对于内容长度= 1000 (字节)，HTTP消息体是正确的URL编码，但是..。
2. .....is再次发送，例如，每110秒钟发送1字节。
3. 将这些连接乘以20,000，您的IIS web服务器将是DDOS。
4. 大多数web服务器可以在一个HTTP请求中接受高达2GB的内容。

参考文献：https://media.blackhat.com/bh-dc-11/Brennan/BlackHat_数据中心_2011年_布伦南_否认_Service-Slides.pdf

Answer 1

IIS本机没有任何速率节流(或者在本例中是负速率节流)。您可以查看动态IP限制模块(http://www.iis.net/download/DynamicIPRestrictions)。我不相信它会具体检查这个，但它值得一看。

对此进行检查可能会在防火墙IDS筛选中获得更好的机会。那里可能支持检查这种类型的攻击。

Answer 2

你的安全扫描应该告诉你它触发了什么。

你把执行超时设置得有多低？其他一些需要降低的东西(为了减轻这种攻击，它必须非常低。)就是连接超时。

但是，这些缓解措施并不能完全阻止攻击，只会降低攻击资源的容量；安全扫描的阈值设置可能是一个相当任意的数字，而低于这个数字并不意味着你对攻击免疫。

Answer 3

在我们的测试中，我们发现Qualys正在标记URL，因为服务器在等待请求完成时保持连接打开500秒。

我们为使连接在慢响应期间保持打开而编辑的参数是minBytesPerSecond。默认值为250。我们把它设为400

DoS防止缓慢HTTP漏洞拒绝服务(攻击)攻击