我一直在環顧四周,但找不到任何有用的東西。通過強力攻擊來保護Symfony應用的最佳做法是什麼?我看着SecurityBundle,但我找不到任何東西。如何從暴力和惡意流量中保護Symfony應用程序
回答
東西,我這個做的是,我一直日誌使用基於IP地址和/或用戶名試圖登錄事件訂閱。然後,如果時間X量後的IP /用戶試圖登錄如果發生故障,我將該IP地址/用戶移動到禁止列表中。此後,IP /用戶嘗試登錄時,我立即根據該禁止列表拒絕該IP地址/用戶。
可以隨着時間的嘗試和所有那些好吃的東西之間也起事件訂閱內
讓我知道如果這是有道理的。
地使用CloudFlare的DDOS攻擊。然而,它可能是昂貴的。
可以防止字典攻擊使用https://github.com/codeconsortium/CCDNUserSecurityBundle
它說「不再支持」 – user1029829
你可以抓住它的邏輯並自己構建它。 –
老實說,我做我的網站/緩存服務器,當我需要。我最近使用varnish緩存來做一個名爲vsthrottle的插件。 (這可能是您可以在服務器級別使用的許多方法之一)在webserver級別而不是symfony級別執行此操作的優勢在於,您甚至沒有達到php級別,並且編譯所有供應商只是爲了最終拒絕請求,而且你沒有使用單獨的數據存儲(不管是mysql還是像memcached那樣快速的)來記錄每個請求並在下一個請求中進行比較......如果請求到達php層,那麼它已經花費了一些性能,並且即使你從symfony返回一個拒絕,這種類型的DDOS仍會傷害你,因爲它會導致服務器編譯php和symfony代碼的一部分。
如果你堅持在symfony中這樣做,註冊一個偵聽器來偵聽所有請求,解析IP地址或X_forwarded_for的請求頭(如果你在負載均衡器後面,這種情況下只有負載均衡器ip會保留用常規的ip檢查來顯示),然後找到一種合適的方式來跟蹤所有請求(最多可以使用一個分鐘)(您可以使用memcached進行快速存儲,並且可以通過智能方法爲每個ips增加計數),並且如果ip命中了您超過最後1分鐘可以說100次,你會返回一個禁止響應或太多的請求響應,而不是通常的響應......但我不建議這樣做,因爲通常構建的解決方案(比如我使用的清漆)更好,在我的情況下,我可以扼殺特定的路線,而不是其他例如。
- 1. 保護我的Web應用程序免受惡意輸入
- 2. 如何從邪惡的程序員保護python類變量?
- 3. 如何通過symfony中的環境來保護應用程序?
- 4. 如何保護流星應用程序的MongoDB中的數據
- 5. 從惡意腳本的攻擊保護網站和病毒
- 6. 保護免受惡意的sql注入
- 7. 如何保護HTTP REST API免遭惡意使用?
- 8. Spring MVC:如何從CSRF和XSS保護應用程序
- 9. 通過SSL保護Xamarin.Forms應用程序流量
- 10. 如何在逆向工程可能的情況下保護應用程序IPA免受惡意攻擊
- 11. Symfony 2 CSFR保護和主幹應用
- 12. 從流氓程序保護Wordpress Multisite
- 13. 如何密碼保護應用程序
- 14. 如何保護HTML應用程序(HTA)?
- 15. 如何保護應用程序?
- 16. 如何保護Silverlight應用程序
- 17. 在Rails應用程序中定位和刪除惡意軟件
- 18. LVL和顯式意圖的應用程序保護?
- 19. 如何保護網站用戶名/密碼從RAM抓取惡意軟件
- 20. 加密流惡意使用
- 21. 這是PHP代碼惡意,我如何保護我的託管?
- 22. 如何保護網站免受惡意腳本侵害?
- 23. 從SQL注入保護應用程序
- 24. 從Deobfuscators保護.Net應用程序?
- 25. 如何在WinRT應用程序中保護Google的clientSecret和clientID?
- 26. 惡意代碼漏洞 - 現場應包保護
- 27. 如何避免惡意發送聊天室應用程序
- 28. 保護JSF應用程序
- 29. 保護ASP.NET應用程序
- 30. 保護Android應用程序
感謝本傑明,我希望的是與所有這些東西開箱即用的包。不管怎麼說,還是要謝謝你! – user1029829