|
защита веб-сервисов от нагрузки |
☑ |
0
Stim
25.03.15
✎
12:13
|
есть веб-сервис, который по входящим параметрам создает контрагента, договор, счет и отправляет счет на емейл
если кто-то будет ддосить и плодить сотни запросов в 1с - как можно защититься от такого?
|
|
1
бомболюк
25.03.15
✎
12:20
|
там логин с паролем так то есть, абы кто не поддосит, только авторизовавшись.
|
|
2
Stim
25.03.15
✎
12:24
|
(1) пжл не путаем веб-сервис с веб-клиентом.
веб-сервис подключается автоматически, там авторизация в soap-подключении указана
|
|
3
rphosts
25.03.15
✎
12:31
|
WSОпределения (WSDefinitions)
Из WSDL файла
Синтаксис:
Новый WSОпределения(<МестоположениеWSDL>, <ИмяПользователя>, <Пароль>, <ИнтернетПрокси>, <Таймаут>, <ЗащищенноеСоединение>)
|
|
4
rphosts
25.03.15
✎
12:43
|
(1) на самом деле даже попытка коннекта с заведомо неверными именем/паролем отъест ресурсов... тысячи таких запросов в секунду могут уронить сервер... тут только отслеживать сетевую активность и блокировать пакеты с атакующих IP.
|
|
5
Stim
25.03.15
✎
12:47
|
(3) как этим пользоваться?
я могу для своего веб-сервиса установить таймаут подключения?
|
|
6
rphosts
25.03.15
✎
12:51
|
(5)вы стучитесь в сервис из 1С?
|
|
7
Лефмихалыч
25.03.15
✎
12:52
|
(0) выдать наружу какой-нибудь прокси веб сервис, который будет заниматься ТОЛЬКО авторизацией и последующей трансляцией в твой адинэсочный веб сервис. В нем можно уже навертеть всяких защит от ddos-ов, не перемешивая это с бизнес логикой.
А если православные клиенты заранее известны, то можно и фиреволом разрулить. Это же почти навреняка какие-нить мерчи с агентами будут через смартфончики инфу передавать, значит с каждым из них по любому договор есть, то есть можно и MACи их узнать да и в белый список добавить
|
|
8
Лефмихалыч
25.03.15
✎
12:53
|
(3) мимо. Он боится, что злые люди извне и не из 1С будут коннектиться с гадкими целями
|
|
9
rphosts
25.03.15
✎
12:54
|
(7) ну если есть ресурсы можно конечно сделать не тривиальную авторизацию
|
|
10
Господин ПЖ
25.03.15
✎
12:56
|
>если кто-то будет ддосить и плодить сотни запросов в 1с - как можно защититься от такого?
всякой сторонней херотой... доступ в 1с с Марса "сделала", а аудит учеток - нет
|
|