Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
 
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Защита PHP от AJAX скрипта, напрямую?, Защита PHP от AJAX скрипта, напрямую?
artur19892  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Новичок
*

Профиль
Группа: Пользователь
Сообщений: 1
Пользователь №: 43230
На форуме: 4 месяца
Карма:




Подскажите как максимально просто и грамотно защитить php скрипт, который в свою очередь вызывает AJAX функция запросом. Защита нужна от DDOS атак, чтобы человек не написал робота который будет имитировать поведение пользователя и беспорядочно дергать этот AJAX постоянно (не через браузер).

Самое первое что пришло в голову это проверка на параметры сессии. Но никто не мешает ему залогиниться на сайте получить все эти параметры и уже начинать атаку.

Подскажите пожалуйста действенный метод если знаете?

И есть ли вариант спрятать само имя этого php файла из функции javascript??

(Именно от DDOS атаки такой как вызов этой функции javascript которая AJAX дергает php скрипт)
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
jetistyum  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 2605
Пользователь №: 5568
На форуме: 8 лет, 4 месяца, 28 дней
Карма: 30




Это как гонка ракет и пво. Всегда можно придумать что-то ещё. По сути всегда можно сэмулировать то, что делает браузер.
Вопрос 1. А оправдано ли это, действительно кто-то может охотиться за твоим php скриптом? почему-бы не заддосить страничку авторизации, регистрации, или еще какую-то?

Вопрос 2. А что если сделать минимальный тайм-аут, чтобы все запросы чаще N секунд (с одного IP) отклонялись без обработки, например.

PMСайт пользователяICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
AllesKlar  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 3375
Пользователь №: 38635
На форуме: 2 года, 11 месяцев, 10 дней
Карма: 170




как минимум проверять $_SERVER['HTTP_X_REQUESTED_WITH']
Но, как уже было сказано, сим лишь немного усложнишь жизнь злому дяде.


--------------------
[продано копирайтерам]
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Гость_Медведь  
Дата
Цитировать сообщение


Гость пожелал остаться неизвестным

Unregistered









Если позволяет специфика программы, вынести обработку на отдельный сервер (домен). Тогда интерес положить его сразу пропадёт.
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
inpost  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Помагите Здесь живу!!!
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 22693
Пользователь №: 20039
На форуме: 7 лет
Карма: 599




оптимизируй скрипт, тогда и проблем таких не будет.


--------------------
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5909
Пользователь №: 1
На форуме: 10 лет, 10 месяцев
Карма: 125

Не пью :
22 года, 3 месяца


Цитата (artur19892 @ 6.08.2016 - 21:53)
Подскажите пожалуйста действенный метод если знаете?

При каждой генерации страницы генерировать уникальный ключ (например, эмдипятку от майкротайм), и аяксом отдавать только по этому ключу.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
jetistyum  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 2605
Пользователь №: 5568
На форуме: 8 лет, 4 месяца, 28 дней
Карма: 30




FatCat Тогда придется хранить где-то кучу доступных ключей для работы. Ведь может быть открыто несколько страниц одновременно. К тому же отдавать этот хэш наружу означает спрятать ключ под ковриком smile.gif
Стоит ли овчинка выделки?
PMСайт пользователяICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5909
Пользователь №: 1
На форуме: 10 лет, 10 месяцев
Карма: 125

Не пью :
22 года, 3 месяца


Цитата (jetistyum @ 8.08.2016 - 12:06)
придется хранить где-то кучу доступных ключей для работы

Да, конечно. Например в БД, таблица на поля: ключ (уникальный) и время создания. Время нужно для автоочистки устаревших ключей. Нагрузка будет минимальной.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8737
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 5 дней
Карма: 591




Цитата (artur19892 @ 6.08.2016 - 23:53)
Защита нужна от DDOS атак, чтобы человек не написал робота который будет имитировать поведение пользователя и беспорядочно дергать этот AJAX постоянно (не через браузер).

А почему именно аякс? Какая разница какую страницу он будет дидосить, результат один и тот же wink.gif
Вообще на уровне php защищаться от ddos атак невозможно. Существуют решения которые мониторят tcp соединения и подозрительно активные айпишники прописывают в правила блокировки фаервола, но и они эффективны только до определённого уровня массивности атаки.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5909
Пользователь №: 1
На форуме: 10 лет, 10 месяцев
Карма: 125

Не пью :
22 года, 3 месяца


Цитата (killer8080 @ 8.08.2016 - 19:31)
Какая разница какую страницу он будет дидосить, результат один и тот же

Если будут дергать не через браузер (или не имитировать браузер), получат статику не мучая php вовсе.


Цитата (killer8080 @ 8.08.2016 - 19:31)
Вообще на уровне php защищаться от ddos атак невозможно

Возможно. У нас на форуме это реализовано. Понятно, что при очень высокой частоте запросов и очень большого диапазона айпишников, алгоритм не справится. Но при относительно небольшой плотности справляется.
Одно время нас долбили практически каждую неделю. Долбили не очень напряженно, пару тысяч айпишников, с каждого 4-5 запросов в секунду. Без защиты сервер бы не выдеражал 10 тыс. запросов в секунду, а с защитой работал вполне приемлемо.


Цитата (killer8080 @ 8.08.2016 - 19:31)
Существуют решения которые мониторят tcp соединения и подозрительно активные айпишники прописывают в правила блокировки фаервола

На пхп примерно так же: подозрительные получают статику.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
  Быстрый ответ
Информация о Госте
Введите Ваше имя
Кнопки кодов
Для вставки цитаты, выделите нужный текст и
НАЖМИТЕ СЮДА
Введите сообщение
Смайлики
:huh:  :o  ;) 
:P  :D  :lol: 
B)  :rolleyes:  <_< 
:)  :angry:  :( 
:unsure:  :blink:  :ph34r: 
     
Показать всё

Опции сообщения  Включить смайлики?
 Включить подпись?
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса