nicht angemeldet
php brutforce sleep performance
Hi,
gegen leichte Brutforceattacken nutze ich php => sleep().
Das bedeutet, kommt eine Loginanfrage die falsch ist, schinde ich Zeit bei der Rückgabe. Wenn jetzt der (Anfänger)Angreifer nur jeweils eine Anfrage in einer Schleife absetzt und keine multiplen Parallelangriffe, funktioniert das ganz gut.
Aber was ich mal wissen wollte, wie nachteilig könnten sich viele sleep() Aufrufe auf den Server auswirken? Ist meine Vorgehensweise in Ordnung oder könnte das mal ein Nachteil werden?
Oliver
-
echo $begrüßung;
Aber was ich mal wissen wollte, wie nachteilig könnten sich viele sleep() Aufrufe auf den Server auswirken?
Während der Schlafphase belastet ein sleep() den Server nicht. Es wird auch nicht zur Script-Ausführungszeit dazugezählt.
echo "$verabschiedung $name";
-
Hi,
»» Aber was ich mal wissen wollte, wie nachteilig könnten sich viele sleep() Aufrufe auf den Server auswirken?
Während der Schlafphase belastet ein sleep() den Server nicht. Es wird auch nicht zur Script-Ausführungszeit dazugezählt.
ja, aber die Verbindung zum Client wird doch aufrecht erhalten. Und das könnte doch mal ein Problem werden oder nicht?
Oliver
-
echo $begrüßung;
ja, aber die Verbindung zum Client wird doch aufrecht erhalten. Und das könnte doch mal ein Problem werden oder nicht?
Das kommt auf die Konfiguration deines Webservers an.
echo "$verabschiedung $name";
-
Hi,
»» ja, aber die Verbindung zum Client wird doch aufrecht erhalten. Und das könnte doch mal ein Problem werden oder nicht?
Das kommt auf die Konfiguration deines Webservers an.
hmmm, meinst du jetzt Einstellungen wie max_client keep_alive usw... oder hast du andere Schlüsselwörter mit denen ich mich mal beschäftigen sollte?
Oliver
-
Moin!
»» »» ja, aber die Verbindung zum Client wird doch aufrecht erhalten. Und das könnte doch mal ein Problem werden oder nicht?
»»
»» Das kommt auf die Konfiguration deines Webservers an.
»»hmmm, meinst du jetzt Einstellungen wie max_client keep_alive usw... oder hast du andere Schlüsselwörter mit denen ich mich mal beschäftigen sollte?
Ja, genau darauf läuft es im Prinzip hinaus: Jeder Webserver kann nur eine maximale Anzahl an gleichzeitig aktiven Requests verarbeiten, und wenn diese Zahl überschritten wird, werden weitere Verbindungen abgelehnt.
Gegen solche Denial of Service Angriffe kann man sich eigentlich kaum wehren, allerdings sind sie auch alles andere als unauffällig, sofern man ein funktionierendes Monitoring auf seinen Server gesetzt hat, das solche Problemsituationen (Server nicht erreichbar) meldet.
Der Bruteforce-Angreifer hingegen würde ja eigentlich lieber still und leise seine Wörterbuchliste auf einige ihm bekannte Accounts laufen lassen, um Zufallstreffer beim Passwort abzufischen, um den Account hinterher dann zu nutzen. Sowas würde man nicht als DoS-Angriff realisieren, wäre kontraproduktiv.
- Sven Rautenberg
-
-
-
-