Атаки типа "отказ в обслуживании" с использованием диапазона
https://tools.ietf.org/html/rfc7233:
6.1. Атаки типа "отказ в обслуживании" с использованием диапазона... Серверы должны игнорировать, объединять или отклонять необоснованные запросы диапазонов, такие как запросы для более чем двух перекрывающихся диапазонов или для множества небольших диапазонов в одном наборе, особенно когда диапазоны запрашиваются порядка без видимой причины. Запросы из нескольких частей не предназначены для поддержки произвольного доступа....
Есть ли определения "много маленьких диапазонов в одном наборе"?
2 ответа
В целом, разумный предел будет зависеть от того, насколько дорого обслуживать диапазоны, и насколько вероятно, что клиенты получат выгоду от распределенных запросов.
В первоначальном руководстве по смягчению последствий от SpiderLabs предлагается ограничение в пять диапазонов для практического трафика в условиях дикой природы.
Реализация в Apache httpd допускает до 200 диапазонов, но только 20 могут перекрываться или появляться не по порядку. Это касается основных патологий распространяемого эксплойта, который использовал около шести сотен перекрывающихся диапазонов.
Это, безусловно, во многом зависит от вашего обслуживания, что вы считаете "вне диапазона", а что нет. То, что было бы серьезно для ПК, работающего в качестве службы, безусловно, несопоставимо с крупной корпоративной сетью.
По сути, вам нужно установить условия для вашей конкретной услуги, которые соответствуют нормальному использованию, а что нет, и отклонить что-либо из этого диапазона.
Как и везде в программном обеспечении, вы должны защищать себя от всевозможных недопустимых данных или поведения.