配置modsecurity来限制参数个数？

Question

我刚刚阅读了有关称为HashDoS的新技术DoS。 详细信息，https://cryptanalysis.eu/blog/2011/12/28/effective-dos-attacks-against-web-application-plattforms-hashdos/

这种DoS技术POST大量参数并触发更糟糕的散列表算法。 Web服务器将需要更多时间来完成这项工作。

他们说：

所以，你可以使用一个千兆的网络连接保持约10.000的Core i7 CPU内核忙于处理PHP 请求。或者，对于 ASP.NET，30,000个Core2 CPU内核，或者对于Java Tomcat 100,000 Core i7 CPU内核，或对于CRuby 1.8 1,000,000 Core i7 CPU内核，可以保持 忙于使用单个千兆位连接。

所以，我想限制我的公司网站在POST内容中的参数数量。 我知道modsecurity可以做到这一点，但我不熟悉modsecurity。

在此先感谢。

Answer 1

Modsecurity可以限制参数的总长度，但不限制数量。有一个模块最近更新了这个功能（它在测试版）：ModIfier：http://yoyo.org/~steve/mod_ifier.html

Answer 2

我花了一些时间来了解modsecurity。 然后，我发现OWASP Modsecurity核心规则集，在文件modsecurity_crs_23_request_limits.conf中有一个规则，请求中的参数数量有限。

在我公司的网络服务器上，也使用了modsecurity核心规则，但是没有这个文件。我不知道为什么:(

这里你可以看到它（从第30行）： http://mod-security.svn.sourceforge.net/viewvc/mod-security/crs/tags/2.2.3/base_rules/modsecurity_crs_23_request_limits.conf?revision=1882&view=markup

Answer 3

您可以找到介绍就到这里卫冕这mod_security的选择有很大的文章：http://blog.spiderlabs.com/2012/01/modsecurity-mitigations-for-aspnet-hashtable-dos-vulnerability-cve-2011-3414.html