防止ブルートフォース攻撃:
あり、あなたがこれを行うために利用できるツールや戦略の広大な配列があり、かつ、使用するサーバーの実装と要件に完全に依存。
ファイアウォール、IDS、またはその他のネットワーク制御ツールを使用しないと、アプリケーションへのサービス拒否から実際にDDoSを停止することはできません。ただし、アプリケーションを修正して、ブルートフォース攻撃を大幅に難しくすることができます。
ロックアウトまたはプログレッシブ遅延を実装するのが標準的な方法です。ロックアウトにより、IPがN回ログインに失敗した場合に、IPがX分間ログイン要求を行うのを防ぎます。プログレッシブ遅延は、悪いログインリクエストを処理するために、より長い遅延と長い遅延を追加します。
ウェブアプリケーションの設定で<login-constraint>
という要素を持つ認証システムを使用している場合は、Tomcat LockoutRealmを使用する必要があります。これにより、多くの不正なリクエストが発生した場合に簡単にロックアウトすることができます。
Tomcatの認証システムを使用していない場合は、より具体的な情報を得るために使用している情報についての詳細情報を投稿する必要があります。
最後に、APIキーの長さを単純に長くすることができます。 64ビットは探索するには巨大なキースペースのように見えるが、現代の基準によるそのアンダーウェイトだ。多くの要因は、あなたが期待するよりも、それははるかに少ない安全な作りに貢献することができます:あなたは場所に何の保護を持っていない場合は
- ボットネット(またはその他の大規模なネットワークでは)、毎秒数十の試みの何千ものを作ることができます。
- キーの生成方法とエントロピーの収集方法によっては、 事実上のキースペースがかなり小さくなる可能性があります。
- 有効なキーの数が増えるにつれて、少なくとも理論的には が有効な数字を見つけようとするキーの数が急激に減少します( )。
APIキーの長さを128(または256、または512)にすることはあまり費用がかからず、あらゆるブルートフォース攻撃の検索スペース(したがって難易度)を大幅に上げます。
問題を緩和する要素DDOS攻撃:DDOS攻撃を軽減するために
は、しかし、あなたはもう少し取材を行う必要があります。 DDoS攻撃は防御するためにハードであり、あなたのサーバがオンになっているネットワークを制御していなければ特に困難です。言われていること
は、あなたが行うことができますいくつかのサーバー側のものがあります。
- ウェブアプリケーションファイアウォールのインストールと設定、mod_securityのように、あなたが定義したルールに違反する着信接続を拒否すること。説明するように、あなた自身のTomcat
Valve
作成DDOS攻撃が発生しているときを検出し、それが
- 別の優れたオプションの@Martin Muller's postを参照してください軽減するための最初のステップを取る、fail2ban
- し、SnortのようなIDSシステムを、セットアップ
- hereは、到着したリクエストを最後の防衛線として、
User-Agents
(または他の基準)で拒否します。
しかし、最終的にはDDOS攻撃を無料で止めることができます。サーバーのメモリは非常に多く、CPUサイクルは非常に多く、ネットワーク帯域幅は非常に大きい。十分な着信接続では、最も効率的なファイアウォールでも、あなたがダウンしてしまうことはありません。帯域幅の広いインターネット接続やサーバーを増やしたり、アプリケーションをAmazon Web Servicesに配備したり、多くのコンシューマーおよびエンタープライズDDoS軽減製品(@SDude has some excellent recommendations in his post)を購入した場合は、DDOS攻撃を軽減することができます。これらのオプションはどれも安く、速く、または簡単ではありませんが、利用可能なオプションです。
ボトムライン:あなたはDDOSを軽減するために、アプリケーションのコードに依存している場合DDOS攻撃が深刻である場合
は、すでに
HTTPヘッダーとは –
ヘッダーにIPがあり、エージェント文字列がヌルです – James
「64ビット鍵として数学的に不可能です」ウット? ** a)**メッセージよりも短いキーを持つ暗号化システムはありません。攻撃者が隠れた情報(最悪の場合、全体の平文)を取得することを防ぐことができます。ここには「不可能」はありません。 ** b)** 2015年の64ビット鍵(DES?)はあまりありません。私はむしろそれが弱いと言うだろう。 – deviantfan