Меню
Что нового?

Защита PHP от AJAX скрипта, напрямую?

artur19892

Новичок
Подскажите как максимально просто и грамотно защитить php скрипт, который в свою очередь вызывает AJAX функция запросом. Защита нужна от DDOS атак, чтобы человек не написал робота который будет имитировать поведение пользователя и беспорядочно дергать этот AJAX постоянно (не через браузер).

Самое первое что пришло в голову это проверка на параметры сессии. Но никто не мешает ему залогиниться на сайте получить все эти параметры и уже начинать атаку.

Подскажите пожалуйста действенный метод если знаете?

И есть ли вариант спрятать само имя этого php файла из функции javascript??

(Именно от DDOS атаки такой как вызов этой функции javascript которая AJAX дергает php скрипт)
 
c0dex

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
@artur19892, дружище, твой вопрос к реальному DDOS отношения имеет не более, чем лосось к клубнике.

Пока не понятно, от чего же ты хочешь защищаться, и вообще надо ли реально тебе это делать.
 
Фанат

Фанат

oncle terrible
Команда форума
Я думаю, автор слышал звон, да не знает где он.
И ддосом считает банальный парсинг.
 

artur19892

Новичок
Фанат написал(а):
Я думаю, автор слышал звон, да не знает где он.
И ддосом считает банальный парсинг.
Нажмите для раскрытия...
Я приведу конкретный пример у меня функции по кнопке подгружает 20 записей.
Я представил себя как взломщика, я легко могу найти ту javascript функцию с параметром которая вызывает ajax, а там написано и какой php файл вызывается (т.е. есть описание функции). Что мне мешает написать какого то робота который постоянно каждую милисекунду дергает тот php файл и нагружает мне сервак???
 

artur19892

Новичок
c0dex написал(а):
@artur19892, дружище, твой вопрос к реальному DDOS отношения имеет не более, чем лосось к клубнике.

Пока не понятно, от чего же ты хочешь защищаться, и вообще надо ли реально тебе это делать.
Нажмите для раскрытия...
Посмотрите пожалуйста пост снизу.
 
Фанат

Фанат

oncle terrible
Команда форума
Толковый ответ: никак защититься нельзя.
И чем меньше ты будешь считать окружающих бестолковыми, тем быстрее поумнеешь сам.
 
c0dex

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
@artur19892, открою тебе секрет, пока что ты - Неуловимый Джо, как-то так. Никаких обид, переходов на личности и так далее, но если твой сайт кто-то захочет положить - там защита должна быть уже посильнее, чем ты можешь написать сам. Там люди такие есть, которые на отражении атак очень хорошие бабки поднимают. Пока что советую просто не думать о такой глупости, как защита php скрипта от лишних ajax вызовов.
 

artur19892

Новичок
c0dex написал(а):
@artur19892, открою тебе секрет, пока что ты - Неуловимый Джо, как-то так. Никаких обид, переходов на личности и так далее, но если твой сайт кто-то захочет положить - там защита должна быть уже посильнее, чем ты можешь написать сам. Там люди такие есть, которые на отражении атак очень хорошие бабки поднимают. Пока что советую просто не думать о такой глупости, как защита php скрипта от лишних ajax вызовов.
Нажмите для раскрытия...
Я не про аякс запросы, а про то что узная какой php скрипт выполняется можно будет его дергать до бесконечности, неужели никто не сталкивался с таким и нечего сказать на эту тему??
 
c0dex

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
Сталкивались, просто нет вариантов нормальных
 

Devoter

Новичок
Количество запросов в секунду от одного источника можно ограничить на уровне веб-сервера, будь то apache, nginx или iis. Существуют также методы на уровне файервола: iptables, ipfw...
Нетрудно видеть, что среди перечисленного (хотя существует много, кроме обозначенных) не встретился ни php, ни ajax. На уровне php никак нельзя запретить выполнение скрипта, если предусмотрен его вызов через клиента. Единственное, что можно сделать - сравнивать время последнего вызова и завершать работу скрипта (exit()), если скрипт вызывается слишком часто. То есть запоминаем время последнего запуска, сравниваем разницу, если не устраивает - выбрасываем ошибку и отдыхаем. Однако данный метод к защите от DDOS не имеет никакого отношения.
 
Фанат

Фанат

oncle terrible
Команда форума
artur19892 написал(а):
Я не про аякс запросы, а про то что узная какой php скрипт выполняется можно будет его дергать до бесконечности, неужели никто не сталкивался с таким и нечего сказать на эту тему??
Нажмите для раскрытия...
Удивительно, что даже после прямых ответов оно все равно фиксируется на обработчике аякс запроса. Защита остальных скриптов, расположение которых даже и узнавать специально не нужно, по какой-то причине его не интересует.
 
scorpion-ds

scorpion-ds

Новичок
Что бы задедосить ваше приложение не обязательно знать какой-то конкретный УРЛ, вполне можно стучаться просто по IP.
 
Войдите или зарегистрируйтесь для ответа.
Сверху