我正在開發一個asp.net MVC web應用程序,並且客戶端請求我們盡我們所能使它儘可能具有抵禦拒絕服務攻擊的能力。他們擔心該網站可能會收到惡意的大量請求,意圖減慢/取消網站。防止惡意請求-DOS攻擊
我已經與產品所有者真正被淘汰的職權範圍進行實際的Web應用程序的討論這一點。我認爲這是託管/網絡團隊負責監控流量和響應惡意請求的責任。
但是他們堅持認爲應用程序應該有內置的一些預防措施。但他們不想實施CAPTCHA。
有人建議我們限制可用於會話的給定的時間框架內作出的請求數量。我正在考慮做這樣的事情 Best way to implement request throttling in ASP.NET MVC?但是使用會話ID而不是客戶端IP,因爲這會給來自公司防火牆後面的用戶帶來問題 - 他們的IP都是一樣的。
他們還建議增加關閉網站的某些區域的能力 - 這意味着管理員用戶可以關閉數據庫密集區.....然而,這將通過UI控制,當然,如果是下無論如何,DOS攻擊管理員用戶無法進入。
我的問題是,真的值得這樣做嗎?當然,真正的DOS攻擊會更先進?
您有任何其他建議嗎?
有趣的是,我只是在尋找一種解決方案來實現這一點,就在幾分鐘前。 –
拒絕服務攻擊是無法避免的,如果可以採取任何措施來減輕攻擊,通常不會在應用程序級別完成。 – Icarus
我不是(完全)專家,但如果我想DOS攻擊服務器,我將首先嚐試發送充電的ping。我不認爲防止DOS攻擊應該在網站側進行處理,但應該使用防火牆來保護網站。我們有足夠的Sql Injection,Cross Site Scripting等等...... – tschmit007