Script php per evitare crash per limite risorse

[giova95]

Ciao a tutti, volevo un consiglio riguardo a questo script:

Codice PHP:

if (!isset($_SESSION)) {
session_start();
}
// protezione anti flood 
if($_SESSION['last_session_request'] > time() - 0.5){
// gli utenti saranno reindirizzati a questa pagina se ci sono richieste consecutive a meno di 0.5 secondi l'una dall'altra
header("location: /flood.html");
exit;
}
$_SESSION['last_session_request'] = time(); 


Ciò ho dovuto inserirlo perchè c'era (e c'è tutt'ora) un gruppo di croati che mi consuma tutte le risorse... oltre a bananre gli ip tramite htaccess non si può fare... anche perchè cambiano ip.
Quindi ho pensato a questo script, pensate possa funzionare? Cioè, sicuramente non mi consuma CPU del server e nemmeno accessi al database... ma può resistere ad attacchi consistenti?

Grazie,
Mirko

[RoTeam]

Edit: avevo visto male, io setterei la sessione anche nell'if cosi se avviene la condizione si rinnova il tempo

[giova95]

intendi dire in questo modo?

Codice PHP:

if (!isset($_SESSION)) { 
session_start(); 
} 
// protezione anti flood  
if($_SESSION['last_session_request'] > time() - 0.5){ 
// gli utenti saranno reindirizzati a questa pagina se ci sono richieste consecutive a meno di 0.5 secondi l'una dall'altra 
header("location: /flood.html"); 
$_SESSION['last_session_request'] = time();
exit; 
} 
$_SESSION['last_session_request'] = time(); 


Giusto, perchè se continua a venirgli il messaggio di errore non si aggiorna il tempo e dopo mezzo secondo visualizza la pagina, non ci avevo pensato ^^'

Va bene così no?
un'altra cosa... 0.5 secondi dite che è un tempo accettabile o devo aumentarlo?
Se lo aumento troppo poi lo visualizzano anche gli utenti nel caso facessero f5 2 volte di seguito erroneamente...

[Enoa]

Originariamente inviato da giova95
ma può resistere ad attacchi consistenti?

No
Sei stai subendo un DDoS, non risolvi bannando gli ip da htaccess ( o virtualhost o conf) e nemmeno facendo un redirect ad una pagina che consuma meno risorse, impegni comunque il server

Le sessioni richiedono che il SID sia passato via get, post o cookie
http://www.php.net/manual/en/function.session-start.php
in pratica ti basi sul fatto che chi sta floodando ti fornisca le credenziali per identificarlo

[giova95]

ehehhe bene...
Non è un attacco ben condotto... supponiamo che sia un croato di 15 anni che si vendica (magari con l'aiuto di qualche amico) perchè qualche mese fa l'avevamo cacciato perchè non rispettava le regole del forum (parlo ancora del vecchio sito su cui risiedevamo prima, questo, pc-zone.it, è attivo solo da 1 mese). Quindi dovrebbe bastare bannarlo da htaccess perchè è un piccolo attacco.
In ogni caso se può fregarci così facilmente non va bene xD

Non è possibile modificare lo script per farlo funzionare con gli IP? Ovviamente non vorrei impegnare il database, se no serve a poco.


Senza nemmeno farlo apposta qualche settimana fa ho letto questa guida: http://www.html.it/articoli/dos-e-dd...-contromisure/
Ho scaricato IOsec della soundforge, ma non ho capito come implementarlo
Se qualcuno mi da una mano lo ringrazio...