我有一个在Windows 2012 R2上的IIS 8.5下运行的ASP.NET站点.
我正在尝试使用MinBytesPerSecond配置设置(在applicationHost\WebLimits中)作为缓解慢速HTTP POST攻击的策略的一部分,但似乎无法让IIS尊重该值.我尝试使用默认的240字节/秒加上更高的值.
我正在使用OWASP/ProactiveRISK的SwitchBlade以1字节/秒的速度将POST主体涓流到服务器,但无法让它断开连接.
建议在网上关于慢速DOS攻击的一些文章中使用MinBytesPerSecond,所以我很惊讶我遇到了困难.我在每次设置更改后重新启动了IIS以防万一.
此设置是否可以由另一个可能未运行的进程监视?
任何想法,要考虑的事项或替代方案都非常感激.
编辑:
刚刚在IIS配置参考中注意到这一点,minBytesPerSecond ...
指定HTTP.sys在向客户端发送响应时强制执行的最小吞吐率(以字节为单位).minBytesPerSecond属性通过使用最少的数据保持连接打开来防止恶意或故障的软件客户端使用资源.如果吞吐率低于minBytesPerSecond设置,则终止连接.
这是否意味着此设置仅适用于返回响应的速率,即只能用于慢速读取 - 是否有人对minBytesPerSecond有任何知识或经验?
谢谢.