会话Id是否安全替代IP地址
本文关键字:IP 地址 安全 Id 是否 会话 | 更新日期: 2023-09-27 18:08:59
防止DOS攻击在我的ASP。在asp.net c#应用程序中,我在Jarrod的回答的帮助下实现了节流。在ASP中实现请求限制的最佳方法。净MVC吗?
但它使用Ip地址,这使得它容易受到高级攻击者的攻击,他们可以很容易地改变它。识别匿名用户的另一个选择是使用他们的会话ID。
我认为它不能改变,直到用户重新启动浏览器,所以它可以是一个很好的选择。但从安全的角度来看,我不确定。请告诉我使用它是否安全?如果没有,那么是否有其他方法可以达到这个目的?由于
编辑:
有些方法需要更长的节流阀。这就是为什么我需要一个大约5秒到2分钟的节流阀。我已经为IIS配置了动态Ip限制,但是我不能为它指定这么大的时间。
我想你的术语可能混淆了。DoS是拒绝服务。更改多个记录或请求功能的人不是DoS攻击,通常情况下,大多数DoS攻击是分布式的,因此是DDoS。
根据您提供的链接请求的内容称为throttling…但正如其他人所建议的那样,sessionid只是在cookie中传递的一个值,可以很容易地修改以绕过检查,就像您可以简单地在请求前放置代理以掩盖请求之间的源IP一样。
因此,如果你只想节流,那么你需要在你想要保护的功能前面实现身份验证,使用你发布的节流代码,也许还可以扔一个CSRF令牌。
但是…如果你想阻止DDoS,它不会发生在第7层,因为数据已经在服务器上了。