nicht angemeldet
Halihallo
Einverstanden. Sicher sind sie unzureichend, aber du wirst _nie_ eine zureichende Lösung finden, ohne andere in Mitleidenschaft zu ziehen! - Michael hat ja die einzelnen Punkte genannt.
scheint ja tatsächlich (ich bin immer schwer von etwas zu überzeugen, wenn ich anderer meinung bin *g*) keine "musterlösung" zu geben.
Nun, es gibt eine Lösung, aber eben keine *gute* Lösung. Natürlich kannst du den Clienten zwingen sich zu registrieren und dann alle Programme einloggpflichtig zu machen, aber dann verlierst du Clienten!
jedenfalls werd ich versuchen, die genannten möglichkeiten zu implementieren und beobachten was dabei rauskommt. was ich ursprünglich wollte, nämlich, daß, falls in user_agent nix drin steht, erst gar kein (eigener) prozess gestartet wird, scheint wohl nur über die httpd.conf zu gehen, soweit ich michael richtig verstanden habe (hab nachsehen mit diesem satzmonstrum *g*). auf die hab ich leider keinen zugriff, und kenn mich damit auch, zugegebenermaßen, recht wenig bis gar nicht aus.
mit der httpd.conf? - Geht das? - Kann man da einfach sagen, wenn kein user_agent => kein Prozess? - Hm. Ich glaube nicht.
Keine Ahnung, wie man das dem WebServer verklickern soll, dass er Prozesse unterbinden soll. Da müsste man wohl schon einen eigenen programmieren.
Um mich nocheinmal zu wiederholen: Die einzige Lösung (welche die "guten" Kunden bei der Stange hält), ist, die Scripte so zu programmieren, dass sie im Falle einer Attacke möglichst schnell beendet werden (in der Hoffnung, dass dies schneller geschieht, als die Requests des Attackenden; dann hast du nämlich kein Problem mehr). Dazu musst du einige gute Kriterien haben, welche den "Attackenden" identifizieren. Ein leerer user_agent mag ein Kriterium sein, wenn auch ein schwaches (wie Michael sagt, lässt sich der ganz einfach ändern). Ein sehr viel besseres Kriterium ist es eben, dass der Attackende sehr viele Requests in kurzer Zeit ausführt. Wenn du mit Sessions arbeitest, kannst du dann diese Session einfach sperren. Arbeitest du nicht mit Sessions, musst du einfach eine "Ausgelastet" Meldung anzeigen.
Viele Grüsse
Philipp