Предотвращение перебора/отказов в обслуживании в PHP

Проблема заключается в балансе между доступностью пользователя и моделью злоумышленника.

Первое решение

If not password correct for a certain number of time:
    block the user
    send a reset link to the user

Пользователь: может быть заблокирован, и ему не нравится сбрасывать настройки
Злоумышленник: заблокировал всех пользователей, пытаясь аутентифицировать всех пользователей (особенно если все логины в открытом доступе)

Второе решение

If not password correct:
    sleep(amount_of_time)

Вопрос в том, каково значение 'amount_of_time'?

Пользователь: может раздражать ожидание "количества_времени" для каждой ошибки
Злоумышленник: продолжайте попытки, с более низким тестом в секундах

Третье решение

If not password correct:
    sleep(amount_of_time)
    amount_of_time = amount_of_time * 2

Пользователь: меньше раздражает из-за нескольких ошибок в пароле
Злоумышленник: блокирует подключение пользователя, отправляя множество неправильных паролей

Четвертое решение

If not password correct for a certain number of time:
    submit a CAPTCHA

Пользователь: необходимо решить CAPTCHA (не слишком сложно)
Злоумышленник: необходимо разрешить CAPTCHA (должно быть сложно)

Хорошее решение (и используется многими сайтами), но будьте осторожны с нашей CAPTCHA. реализация. В любом случае есть хитрость (см. Следующее решение).

Пятое решение

If not password correct for a certain number of time:
    block the IP
    (eventually) send a reset link

Пользователь: пользователь может быть заблокирован, поскольку он не может правильно вспомнить свой пароль.
Злоумышленник: пытается использовать тот же пароль с другим пользователем, поскольку блокировка основана на количестве входов в систему пользователем.

Окончательное решение ?

If several login attempts failed whatever is the user by an IP :
    print a CAPTCHA for this IP

Пользователь: пользователь не может быть заблокирован по IP-адресу, но должен помнить свой пароль.
Злоумышленник: сложно провести эффективную атаку грубой силы.

Важные примечания

Заблокирована ли форма входа или ссылка для входа в систему? Блокировать форму входа бесполезно.

Устойчивость к грубой силе — это, В первую очередь, проблема сложности пароля, поэтому вам нужна строгая политика паролей (особенно в случае распределенного грубой силы).

Я не упоминаю тот факт, что ваши пароли хэшируются солью, вы уже делаете это правильно? Потому что, если доступ к базе паролей проще, чем брут-форс, злоумышленник выберет это решение (цепочка настолько прочна, насколько сильно ее самое слабое звено).

Я бы посоветовал, если пользователь безуспешно пытался, скажем, более пяти раз и пяти минут, вы немедленно начинаете возвращать 503 Service Unavailable для этого IP-адреса. В случае сбоя входа в систему вы можете использовать memcache, чтобы получить текущие неудачные попытки для IP-адреса, а затем увеличить сумму и сохранить ее обратно в memcache с истечением 5 минут.

Вы не хотите помещать sleep в свой PHP-код, так как это позволит одному пользователю создавать множество подключений к вашему веб-серверу и потенциально может вывести из строя других пользователей.

Поскольку пользователь не вошел в систему, у вас нет файла cookie сеанса, и если пользователь пытается взломать свою учетную запись, он может вообще не предоставить файл cookie.

Я использовал что-то вроде этого...

1. Проверьте имя пользователя и пароль

   1.1 Если совпадений нет, запишите время последнего неудачного входа в систему для этой комбинации и количество неудачных входов.

   1.2 Каждый сбой делает ожидание между возможностью входа в систему, что-то вроде failsCount * 30 секунд, вплоть до максимума (например, 10 минут).

• Это означает, что атака грубой силы будет экспоненциально занимать все больше и больше времени.
• Он может заблокировать пользователя, но не будет учитывать неудачный вход при попытке входа в систему в течение периода блокировки. Это должно минимизировать его.

I've developed this but not released it into the wild yet, so any feedback would be appreciated.

Я сделал класс, который заботится о защите от атак грубой силы в PHP.

https://github.com/ejfrancis/BruteForceBlocker

он регистрирует все неудачные входы в систему по всему сайту в таблице БД, и если количество неудачных входов в систему за последние 10 минут (или любой другой временной интервал, который вы выберете) превышает установленный предел, он обеспечивает временную задержку и / или капчу. перед повторным входом в систему.

пример:

//создаем массив настроек дроссельной заслонки. (# недавние неудачные попытки входа => ответ).

$throttle_settings = [

    50 => 2,            //delay in seconds
    150 => 4,           //delay in seconds
    300 => 'captcha'    //captcha 

];

$BFBresponse = BruteForceBlocker::getLoginStatus($throttle_settings);

//$throttle_settings — необязательный параметр. если он не включен, будет использоваться массив настроек по умолчанию в BruteForceBlocker.php

переключатель ($BFBresponse['status']){

case 'safe':
    //safe to login
    break;
case 'error':
    //error occured. get message
    $error_message = $BFBresponse['message'];
    break;
case 'delay':
    //time delay required before next login
    $remaining_delay_in_seconds = $BFBresponse['message'];
    break;
case 'captcha':
    //captcha required
    break;

}

Я не уверен, что лучше всего, но при борьбе с DoS-атаками лучше всего перенаправить трафик в сторону от вашего сервера. Установка тайм-аутов на самом деле не поможет, потому что вы все еще обрабатываете запрос и запускаете PHP.

Рассматривали ли вы возможность установки другого веб-сервера с более простой урезанной версией вашей страницы входа? Когда пользователь пытается слишком много раз (например, тысячи раз), отправьте сообщение, чтобы настроить маршрутизатор и перенаправить этого пользователя на второй веб-сервер.

Это похоже на то, как когда веб-сайты подвергаются эффекту косой черты, многие из них просто перенаправляют трафик, пока трафик не уменьшится.