Brute forcing på IIS
Her er en nød som jeg har svært ved at knække...Vi har en login side på et website, hvor brugeren skriver username/password, som derefter bliver slået op i en SQL database.
Problemet er, at nogen af brugerne har fået fat i \"Brute forcing\" programmer, som sender over 20.000 passwords afsted i løbet af få minutter. Det opretter så mange user sessions, at serveren er ved at gå ned.
Vi har prøvet flere forskellige løsninger i .asp, men ligemeget hvad, bliver der altid oprettet en ny user session, hver gang \"hackeren\" sender det næste password afsted, da cracking programmet dropper alle session cookies etc.
Spørgsmålet er så, om nogen kender til en eller anden form for filter, som kan behandle alle forespørgsler til denne side, inden IIS\'en opretter en usersession. Filteret skal så sørge for fx at hver IP højst kan poste 1 password i sekundet. På den måde falder belastningen på serveren, og \"hackeren\" bliver sløvet i sit arbejde.
Vi har snakket med flere eksperter, og tilsyneladende findes der ikke firewalls som kan gøre dette. Jeg forestiller mig at der fx findes et ISAPI filter? Eller måske en helt anden løsning.
Jeg håber at nogen kan hjælpe med dette...