Постоянный тайм-аут для обеспечения безопасности

Нам было рекомендовано активировать поддержку для увеличения скорости сайта. Однако наша команда по инфраструктуре упомянула следующее соображение безопасности:

Это можно использовать для атаки на отказ в обслуживании, если она не обрабатывается должным образом. Если эти сеансы продолжаются эффективно, последнее время, говорят в течение 10 минут, сервер должен поддерживать это соединение открытым в течение 10 минут, независимо от того, сделаны ли какие-либо запросы или ответы. Только это потребует ненужных ресурсов сервера, которые могут использоваться для активных подключений. Злоумышленник может создать несколько TCP-соединений для сервера, чтобы перегрузить его с запросами до той точки, которую он больше не может обрабатывать из-за этих открытых сеансов.

Это то, что кто-то рассмотрел, и если да, то стоит ли это 5-секундное соединение?

3 голоса | спросил Kirsty Simms 23 FebruaryEurope/MoscowbThu, 23 Feb 2017 14:44:43 +0300000000pmThu, 23 Feb 2017 14:44:43 +030017 2017, 14:44:43

2 ответа


1

Не меняйте его. Если вы не понимаете, что это значит, не изменяйте этот тип настройки. Честно говоря, я сомневаюсь, что это все равно поможет, если вы внесете какие-либо изменения, так как большинство настроек на веб-сервере являются сбалансированными настройками по умолчанию. Если он выключен, вы можете включить его, но изменение настроек - это скорее специальный вариант решения.

Если вам нужна скорость, я предлагаю следующее:

  • Загрузите все, что можно кэшировать 1
  • Свернуть css, html и javascript 2
  • Минимизировать количество ресурсов (файлов), которые вы загрузили 2
  • Оптимизируйте изображения с такими сервисами, как Kraken.io , чтобы уменьшить размер.
  • Включено gzipping 1

Это действительно даст вам заметную разницу.

1 Совет. Вы можете легко сделать это с помощью .htaccess
2 Совет. Создайте один файл php для сделайте это для вас

ответил Martijn 23 FebruaryEurope/MoscowbThu, 23 Feb 2017 15:14:59 +0300000000pmThu, 23 Feb 2017 15:14:59 +030017 2017, 15:14:59
1

Используйте таймаут keepalive, но делайте это с помощью Nginx.

Ваши данные о DDoS и производительности верны, но есть довольно простой способ использовать тайм-аут keepalive для производительности, не беспокоясь о том, что злоумышленники откроют больше TCP-соединений, чем может обрабатывать ваш сервер. С помощью прокси-соединений Nginx для вас использует собственный локальный пул keepalive разделы обратно на ваш сервер (ы), поэтому вам не нужно беспокоиться об этом виде злоупотреблений. иллюстрация параллелизма Nginx Одна вещь, которую следует помнить, IE закрывает соединения через 60 секунд самостоятельно поэтому нет смысла устанавливать его дольше, если у вас много пользователей IE.

В вашем вопросе не упоминается, какой сервер или протокол (HTTP /HTTPS?) вы используете, но вам обязательно нужно использовать HTTP /2 для обслуживания вашего сайта через TLS, если целью является высокая параллелизм и скорость.

ответил Tom Brossman 25 FebruaryEurope/MoscowbSat, 25 Feb 2017 14:21:25 +0300000000pmSat, 25 Feb 2017 14:21:25 +030017 2017, 14:21:25

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132