使用范围的拒绝服务攻击
Denial-of-Service Attacks Using Range
https://www.rfc-editor.org/rfc/rfc7233#section-6.1
:
6.1。使用范围的拒绝服务攻击
...服务器应该忽略、合并或拒绝
异乎寻常的范围请求,例如请求超过两个
重叠范围或单个集合中的许多小范围,
特别是当范围被无序要求时
明显的原因。多部分范围请求不是为了
支持随机访问。 ...
有没有“一个集合中有许多小范围”的定义?
一般来说,合理的限制将取决于服务范围的成本,以及客户从范围请求中受益的可能性有多大。
初始缓解指南from SpiderLabs建议将实际流量限制在五个范围内。
implementation in Apache httpd 允许多达 200 个范围,但只有 20 个可能重叠或出现乱序。这解决了传播漏洞利用的主要问题,它使用了大约 600 个重叠范围。
这在很大程度上取决于您的服务,您考虑什么 "out of range" 什么不考虑。对于 PC 运行 来说,作为一项服务的严重性肯定无法与大型公司网络相提并论。
您基本上需要为您的特定服务设置正常使用情况和不正常使用情况的条件,并拒绝超出该范围的任何内容。
就像软件中的任何地方一样,您需要放置 "guards" 以防止各种无效数据或行为。
https://www.rfc-editor.org/rfc/rfc7233#section-6.1 :
6.1。使用范围的拒绝服务攻击 ...服务器应该忽略、合并或拒绝 异乎寻常的范围请求,例如请求超过两个 重叠范围或单个集合中的许多小范围, 特别是当范围被无序要求时 明显的原因。多部分范围请求不是为了 支持随机访问。 ...
有没有“一个集合中有许多小范围”的定义?
一般来说,合理的限制将取决于服务范围的成本,以及客户从范围请求中受益的可能性有多大。
初始缓解指南from SpiderLabs建议将实际流量限制在五个范围内。
implementation in Apache httpd 允许多达 200 个范围,但只有 20 个可能重叠或出现乱序。这解决了传播漏洞利用的主要问题,它使用了大约 600 个重叠范围。
这在很大程度上取决于您的服务,您考虑什么 "out of range" 什么不考虑。对于 PC 运行 来说,作为一项服务的严重性肯定无法与大型公司网络相提并论。
您基本上需要为您的特定服务设置正常使用情况和不正常使用情况的条件,并拒绝超出该范围的任何内容。
就像软件中的任何地方一样,您需要放置 "guards" 以防止各种无效数据或行为。