配置modsecurity來限制參數個數？

Question

我剛剛閱讀了有關稱爲HashDoS的新技術DoS。 詳細信息，https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

這種DoS技術POST大量參數並觸發更糟糕的散列表算法。 Web服務器將需要更多時間來完成這項工作。

他們說：

所以，你可以使用一個千兆的網絡連接保持約10.000的Core i7 CPU內核忙於處理PHP 請求。或者，對於 ASP.NET，30,000個Core2 CPU內核，或者對於Java Tomcat 100,000 Core i7 CPU內核，或對於CRuby 1.8 1,000,000 Core i7 CPU內核，可以保持 忙於使用單個千兆位連接。

所以，我想限制我的公司網站在POST內容中的參數數量。 我知道modsecurity可以做到這一點，但我不熟悉modsecurity。

在此先感謝。

Answer 1

Modsecurity可以限制參數的總長度，但不限制數量。有一個模塊最近更新了這個功能（它在測試版）：ModIfier：http://yoyo.org/~steve/mod_ifier.html

Answer 2

我花了一些時間來了解modsecurity。 然後，我發現OWASP Modsecurity核心規則集，在文件modsecurity_crs_23_request_limits.conf中有一個規則，請求中的參數數量有限。

在我公司的網絡服務器上，也使用了modsecurity核心規則，但是沒有這個文件。我不知道爲什麼:(

這裏你可以看到它（從第30行）： http://mod-security.svn.sourceforge.net/viewvc/mod-security/crs/tags/2.2.3/base_rules/modsecurity_crs_23_request_limits.conf?revision=1882&view=markup

Answer 3

您可以找到介紹就到這裏衛冕這mod_security的選擇有很大的文章：http://blog.spiderlabs.com/2012/01/modsecurity-mitigations-for-aspnet-hashtable-dos-vulnerability-cve-2011-3414.html