עם התפתחות הטכנולוגיה בכל תחום, השתפרו גם הסיכויים לאובדן נתונים והתקפות סייבר. לטכנולוגיות חדשות תפקיד חיוני בתחום הפיתוח האתי ובאותו אופן, ניתן להשתמש בטכנולוגיות אלו גם לביצוע פעולות לא אתיות בצורה מדויקת וקלה יותר. התקפה אחת כזו שיכולה להיעשות על ידי האקר היא ' מניעת שירות (CWE-400) '.
מדריך זה מסביר את ההליך למניעת מניעת שירות CWE-400 בשרת HTTP של Nodejs.
מהי מניעת שירות של שרת HTTP (CWE-400)?
מניעת שירות (CWE-400) הוא ניסיון של התוקף להפוך אפליקציה ללא זמינה עבור משתמשים מקוריים על ידי הצפת האפליקציה בתעבורת בוטים. התקפה זו מבוצעת גם על ידי ניצול הפגיעויות של היישום כדי להפוך את היישום לאיטי בהרבה.
האם יישומי Node Js פגיעים להתקפות זדוניות?
כן, יישומי Node.js עלולים להיות פגיעים להתקפות זדוניות בדיוק כמו כל תוכנה או יישום אחר. כמה מהסוגים הנפוצים והפופולריים ביותר של התקפות זדוניות מצוינים להלן:
-
- התקפות מניעת שירות
- התקפי הזרקה
- התקפות סקריפטים חוצי אתרים (XSS).
- התקפות חטיפת סשן
כיצד למנוע מניעת שירות (CWE-400) בשרת Node.js HTTP?
כדי למנוע מניעת שירות בשרת HTTP של Node.js, יש להגביל את מספר הבקשות המתקבלות מכתובת IP בודדת בתוך מסגרת זמן מוגדרת. בדרך זו, התעבורה המתקבלת מעל האפליקציה שלך מטופלת וישנן שיטות שונות אחרות גם כדי להפחית את מניעת השירות (CWE-400) ב-Node.js.
שיטה 1: שימוש ב-Rate Limiter
מגביל התעריף הוא הגישה הטובה ביותר למנוע ספציפית את מתקפת מניעת השירות, מכיוון שהוא יכול להגביל את מספר הבקשות שעשויות להגיע מכל בקשה לכל מסגרת חלון:
const expObj = דורש ( 'אֶקְסְפּרֶס' ) ;const Limiting = דורש ( 'הגבלת שיעור המהיר' ) ;
const demoApp = expObj ( ) ;
const cusLim = מגביל ( {
windowsMs: 2 * 60 * 1000 , // חֲמֵשׁ עֶשׂרֵה דקות
מקסימום: 100 ,
} ) ;
demoApp.use ( cusLim ) ;
התיאור של הקוד לעיל הוא כדלקמן:
-
- ראשית, התקן וייבא את ' אֶקְסְפּרֶס ' ו' מגבלת שיעור אקספרס ' בפרויקט ה-Node Js שלך באמצעות ' npm i <שם חבילה> ' פקודה ו' לִדרוֹשׁ() 'שיטה בהתאמה.
-
- לאחר מכן, צור יישום אקספרס בשם ' demoApp ' וצור מגביל קצב על ידי הקצאת הערכים הנדרשים עבור ' windowsMs ' ו' מקסימום ' מאפיינים של ' מגבלת שיעור אקספרס ' חפץ.
- ה ' windowsMs ' מגדיר את משך זמן החלון ו' מקסימום ' מגדיר את הבקשה המקסימלית שניתן לקבל מכתובת IP בודדת לכל חלון.
- כעת, החל את ' להשתמש() שיטה המכילה את מגביל התעריף עם ' demoApp ' יישום להגבלת הבקשה שהתקבלה על ידי אפליקציית 'demoApp'.
שיטה 2: שימוש בשיטות פסק זמן
ה ' פסק זמן 'שיטות כמו' setTimeout() ',' headersTimeout ',' בקש פסק זמן ',' פסק זמן ', ו' keepAliveTimeout() ' משמשים ליציאה או לסיים את ' שרת http ' שרת. זה ימנע את מניעת השירות (CWE-400) על ידי מתן מסגרת זמן מינימלית של חלון פתוח. לדוגמה, הבקשה נמחקה או שהחלון ייסגר לאחר ' 3 ' שניות:
const server = http.createServer ( ( דרישה, מילואים ) = > {req.setTimeout ( 3000 ) ;
// טיפול בבקשה
} ) ;
טיפים נוספים להפחתת מניעת שירות ב-Node Js
ישנם כמה טיפים נוספים המסייעים בהפחתת מניעת שירות (CWE-400) בשרת HTTP של Nodejs, אלה מפורטים להלן:
-
- ה ' פרוקסי הפוך יש להשתמש כדי לשלוח או לקבל בקשות לאפליקציית Node Js. פרוקסי אלה מציעים שמירה במטמון, איזון עומסים ורשימה שחורה של IP, מה שעוזר רבות בהפחתת ה-DoS(CWE-400).
- השימוש ברשת להעברת תוכן ' CDN ” עוזר למנוע את התקפת DoS(CWE-400) על ידי חלוקת הקוד למספר נתחים והעלאתם בנפרד במספר שרתים.
- השימוש בחומת אש של יישום אינטרנט ' WAF 'מגן על האפליקציה שלך על ידי חסימת בקשות ממקור זדוני ידוע.
- השימוש של ' מאזן עומסים 'מחלק באופן שווה עומס של בקשות על פני כל השרתים, ומונע עומס יתר של שרת בודד.
הערה: אתה יכול גם לבדוק את התיעוד האותנטי של Node.js כדי לקבל מידע נוסף עבורו מניעת שירות (CWE-400) .
זה הכל על מניעת מניעת שירות (CWE-400) בשרת HTTP של Node.js.
סיכום
כדי למנוע מניעת שירות (CWE-400) בשרת Node.js HTTP, השתמש ב-' מגביל שיעור ',' שיטות פסק זמן ',' פרוקסי הפוך ',' של CDN ',' WAF ' ו' מאזן עומסים ' טכניקות. הם מגבילים את מספר הבקשות, סוגרים את חלון הבקשות, מפנים את הבקשה לאתר אחר, מחלקים ומעלים את הקוד המקורי למספר שרתים ומאזנים את העומס על כל שרת בהתאמה. מדריך מהיר זה הדגים את התהליך למתן או למנוע את מניעת השירות (CWE-400) בשרת HTTP של Node.js.