Есть у меня сайт на ASP.NET MVC. Как лучше сделать, чтобы всякие пользователи и боты не грузили наш сервер, нажимая разные кнопочки почём зря? Делать в логике сайта в контроллерах проверки - что-то типа "этот форум требует 5-секундного перерыва после подобного запроса"? Или в фаерволле сервера как-то ограничить, чтобы с одного айпи не более одного запроса, скажем, в 5 секунд пропускалось? Или ещё как-то?

Если первое, то кажется, что-то слишком много разных таких проверок делать придётся. По сути, логика большинства сайтов состоит более, чем на 50% из одинакового "служебного" кода, как то валидации, проверки, хеширования и прочее. А собственно кода, который пользу пользователю приносит - меньше половины.

Ну, не только кнопочки, но и вообще по прямым ссылкам не вызывая методы контроллеров слишком часто.

Кто-нибудь знает?

1. Предположим, я пишу бота, который все доступные действия ваших контроллеров вызывает по десять раз в секунду. Что вы делаете, чтобы избавить от этого?

2. Тот же бот, что и в случае 1, но уже распределённый и атаку ведёт со многих адресов - ваши действия?

Мы сами у себя хостим - на своём сервере. Я вот и спрашиваю, админ должен в фаерволе настраивать, или в контроллерах сайта городить целую защитную систему? Или и то, и другое?

Я, конечно, понимаю, что лучше везде и всё защитить по-максимуму, но у меня времени немного, поэтому городить собственную систему защиты. Какие есть способы по-быстрому ограничить самые распространённые хулиганства по вышеозначенной проблеме, ну и просто чтобы снизить нагрузку на сервер?

И если можно, дайте, пожалуйста, ссылки на статьи или литературу, посвящённые снижению нагрузки на сайты на ASP.NET MVC. Где бы было написано, как и что ограничивать в контроллерах, что на сервере настраивать и т. д.

Т. е. если я зацикливаю вызов метода(ов) контроллера(ов) сайта-жертвы, то это ДоС (ДДоС) и, как вы говорили, новичку лучше этим не заморачиваться. А если просто юзеры флудят на форуме, то можно каким-нибудь ActionFilter ограничить им действие контроллера (как на форумах пишут "это действие требует ожидания 5 с для выполнения")? Или придётся громоздить подобную защиту в модели?

И ещё такая ситуация. Допустим, юзер выделил кнопку с асинхронным запросом в моём интерфейсе и зажал ввод. Получили ДоС. Как бороться?

Кто-нибудь пытался сделать что-то вроде этого (с учётом комментариев там внизу) http://madskristensen.net/post/Block-DoS-attacks-easily-in-ASPNET.aspx ? Вкратце: он отслеживает, с какого айпи пришло более определённого количества запросов в определённое время, и банит этот айпи на определённое время. Все эти параметры настраиваются.

Ему там про потоковую небезопасность при использовании таймера сказали, но сути метода это не меняет - там же как вариант предложили использовать потоковобезопасное кеширование забаненых айпишников.

Единственное существенное замечание по сути метода я нашёл только в том, что найдутся такие интернет-службы, для которых является обычным обрабатывать десятки запросов в секунду с одного адреса. Ну, тут просто предложение профилировать настройки для разных служб. Для обычного сайта, который не должен выдавать в реальном времени данные по сто раз в секунду, можно, наверное, и единые настройки применить с ограничением в несколько запросов в секунду. Те же поисковики ограничивают свои поисковые боты одним запросом в секунду.

как то так...авторА если просто юзеры флудят на форуме,
http://ru.wikipedia.org/wiki/CAPTCHA
автор вызов метода(ов) контроллера(ов)
это абстракция - лучше говорить запрос к веб-серверу...
Ну, это смотря на каком уровне обработку осуществлять. Я вот выше привёл пример в HttpModule, а можно и попозже.

как то так...авторА если просто юзеры флудят на форуме,
http://ru.wikipedia.org/wiki/CAPTCHA
Ну это-то да, только это, как правило, для незарегистрированных пользователей делают, ибо если для всех сделаешь - тебя посещать перестанут. А зареганых и забанить можно, если они лютовать начнут.

Я вот щас на этом форуме по адресу http://www.sql.ru/forum/afsearch.aspx?s=&submit=%CD%E0%E9%F2%E8&bid=19 зафокусировал поля поиска или кнопку "Поиск" и зажал пробел или ввод - какая-то надпись на синем фоне "Пожалуйста, подождите" замигала. Это что - асинхронный запрос был?

user7320Я вот щас на этом форуме по адресу http://www.sql.ru/forum/afsearch.aspx?s=&submit=%CD%E0%E9%F2%E8&bid=19 зафокусировал поля поиска или кнопку "Поиск" и зажал пробел или ввод - какая-то надпись на синем фоне "Пожалуйста, подождите" замигала. Это что - асинхронный запрос был?
Серверу не больно, когда я так делаю?

AHTOH_Luser7320, только когда баниш IP надо понимать что с одного Ip может очень много народа в инет выходить :)
Лучше сидеть под ДоСом?

AHTOH_Luser7320, только когда баниш IP надо понимать что с одного Ip может очень много народа в инет выходить :)
Там бан автоматом снимается через 5 минут и дальше даётся "ещё один шанс". И так до бесконечности. По идее, должно быть так - админ приходит, видит в логах, что кто-то хулюганит с такого-то адреса, под которым целая сетка сидит, и даёт знать админу той сетки, чтобы он разобрался, а нето его забанят наподольше.

skyANAuser7320пропущено...

Серверу не больно, когда я так делаю?Вам что, слово debouncing лень загуглить? Вот Вам ссылка: микропаттерны оптимизации в Javascript: декораторы функций debouncing и throttling .
Злой дядя может подменить скрипты и снять все ограничения.

как то так...авторКто-нибудь пытался сделать что-то вроде этого
никому это не нужно - разве что тебе! ;)
если идёт огромное количество запросов на сервер, то сервер и должен разбираться (отсекать) нежелательные ип и тд. Твоё микро-приложение с микро-модулем всего-лишь часть большого сервера и нагрузку на сервер из приложения никак не отрегулировать...
Т. е. выкинуть всю подобную защиту с сайта и отдать проблему на решение админу сервера?

как то так...авторТ. е. выкинуть всю подобную защиту с сайта и отдать проблему на решение админу сервера?
ДА!!!
1. А это задача админа IIS настраивать, в том числе всякие HTTP-модули там писать, чтобы отсекали всяких?

2. Ну ладно. А если админ это я? Вопрос - то так и не решился. Ну будет админ (т. е. я) в фаерволле копаться - по сути тот же HttpModule, что я по ссылке привёл, только с более широкими настройками. Ну так и я могу в этот модуль напихать всяких фильтров и настроек - получу тот же фаерволл узкой заточенности.

skyANAuser7320пропущено...
Злой дядя может подменить скрипты и снять все ограничения.user7320И ещё такая ситуация. Допустим, юзер выделил кнопку с асинхронным запросом в моём интерфейсе и зажал ввод.Вы уж определитесь. А то получается злой дядя-юзер подменил скрипты и сидит час в позе лотоса, зажав кнопку.
Сути это не меняет, подменил он скрипты, зажал кнопку или ботом отправляет запросы по сто раз в секунду. Для моего сервера это всё выглядит как "запросы по сто раз в секунду на один и тот же метод одного и того же контроллера".

handmadeFromRuuser7320Мы сами у себя хостим - на своём сервере. Я вот и спрашиваю, админ должен в фаерволе настраивать, или в контроллерах сайта городить целую защитную систему? Или и то, и другое?

Я, конечно, понимаю, что лучше везде и всё защитить по-максимуму, но у меня времени немного, поэтому городить собственную систему защиты. Какие есть способы по-быстрому ограничить самые распространённые хулиганства по вышеозначенной проблеме, ну и просто чтобы снизить нагрузку на сервер?

И если можно, дайте, пожалуйста, ссылки на статьи или литературу, посвящённые снижению нагрузки на сайты на ASP.NET MVC. Где бы было написано, как и что ограничивать в контроллерах, что на сервере настраивать и т. д.

Вы не защитите все равно ничего, вам канал просто забьют и все. Вы ставьте задачу четко: либо вам надо выдавать результат пользователям быстро либ защищается от доса, где вы получите выхлоп нулевой средствами разработки. Можно сделать ими примитивную защиту, но её мало, если вас реально кто то захотел задосить, а не какое то школоло. Вообще МСУ и другие люди это обсуждали летом где то на форуме, поищите. Ваш ресурс столь популярен, что его хотят задосить конкуренты?

если вам надо оптимизировать отдачу клиенту то профилирование запросов в бд, агрессивное кеширование всего что мало изменяется( если там обычного асп кеша мало, то редис и отдельную тачку), пара серверов с инстантами апликейшена, балансировщик и т.д.
Спасибо за ответ. Мне примерно такой и надо было. Главное, я понял, что ничего делать не надо, если сайт непопулярный и знаний мало. Ну, а с оптимизацией я разберусь.

А не могли бы вы ссылку на тему этого МСУ дать, где они это обсуждали? А то я тут нечасто и вообще месяцами иногда не бываю.

Sergey ChСамый простой вариант - это когда Вас школьники из китайской провинции используют в качестве подобытного кролика. В этом случае атака идет с ограниченного числа IP адресов. Если у Вас IIS сервер (что проще всего для ASP.NET) - есть простой модуль, который прекрасно защищает от подобных атак:

Скачать с сайта Microsoft
Дак это то же самое, что Кристинсен предложил, только слегка доработанное и сделанное для IIS в качестве расширения. Ну, по крайней мере, я понял, куда можно эту идею применить, а то тут так говорили, будто всё это фигня и забыть обо всём этом надо. В любом случае спасибо.

А, ещё один из способов - во время атаки просить провайдера менять вам айпи. Когда бот перенастраивается на ваш новый айпи, снова меняем. И так пока не отпустит. Не знаю, какова там реакция всяких DNS на это дело, но слегка помогает. Это из опыта одной ММО игры, когда их ДДоСили. Наверное, за деньги это - провайдера просить айпи менять, но хоть что-то.

МСУSergey ChДавайте будем немного серьезнее. DOS атаки сильно подразделяются на различные категории.

Самый простой вариант - это когда Вас школьники из китайской провинции используют в качестве подобытного кролика. В этом случае атака идет с ограниченного числа IP адресов. Если у Вас IIS сервер (что проще всего для ASP.NET) - есть простой модуль, который прекрасно защищает от подобных атак:

Скачать с сайта Microsoft

Самый сложный (когда Вас заказали) и атака идет с тысяч зараженных трояном серверов, то тут уже ничего не поможет...

Good luck!

http://codearticles.ru/Home/ArticleView/455

Гибче и более функциональнее.
А можно сюда выложить, а то регаться просит?