Webserver-Defender

Der Webserver-Defender schützt vor DoS und Account-Hacking mit Brute-Force. Die folgenden Optionen sind verfügbar:

Definiert die maximale Anzahl von Sitzungen, die ein Angreifer innerhalb von 30 Minuten erstellen kann, bevor die Adresse blockiert wird. Der HTTP-Statuscode 429 wird gesendet, sobald die Adresse blockiert wurde.

Jede Sitzung - definiert durch einen Session-Cookie - verbraucht etwas Speicher auf der Serverseite, normalerweise nur einige Kilobyte pro Sitzung. Ein Angreifer könnte ohne Sitzungslimit leicht ein Speicherengpass erzeugen und den Server lahmlegen.

Der Sitzungszähler wird nach einem Neustart des Servers oder dem Speichern des Wertes 0 zurückgesetzt.

Hinweis: Die Überprüfung kann deaktiviert werden, indem der Wert auf 0 gesetzt wird.

• Standardwert: 1000

Legt die Anzahl der Anmeldefehler fest, bevor eine Verzögerung verwendet wird, um Brute-Force-Angriffe auf das Passwort eines Benutzers zu verhindern. Die Verzögerung in Sekunden kann mit der folgenden Formel berechnet werden:

delayInSeconds = max(0, (X - N)²)

# X = Anzahl der fehlgeschlagenen Anmeldungen
# N = konfigurierte Anzahl der fehlerhaften Anmeldungen vor der Verzoegerung

Hinweis: Ein Wert, der kleiner als 0 ist, deaktiviert das Verzögerungsverhalten

• Standardwert: 10