ZiY Warez Forum

**ScrayNetwork** · 2009-03-26, 17:11

首先说明：
此篇文章是我根据经验总结出来的，仅给遇到同样问题的站长做参考，也许有更好的解决办法，也许您觉得BlackICE很垃圾。请您手下留情！

故障描述：一些正常访问网站的用户偶尔也会被黑冰给Ban掉IP，为什么会这样呢？

可疑攻击描述：[Suspicious Activity] This signature detects HTTP requests with fields larger than 100 bytes and which contain more than 5 bytes of binary (non ASCII) data.

说明：HTTP请求的领域中规模较大的超过100个字节，其中超过500字节的二进制（非ASCII码）数据。（字段包含的HTTP二进制字符）

BlackICE对此行为的诊断：远程攻击者可能会试图执行任意代码的Web服务器发送特制的URL含有过多的二进制字符的HTTP领域。

　　由此可见，BlackICE对注入式攻击也能够起到一定的防范作用。
　　但是，由于BlackICE是启发式工作，而不是找出一个已知的攻击，因此，我认为这个事件的触发偶尔也会发现在正常的http请求当中。

解决方案：那么我们如何解决掉这一问题呢？BlackICE界面中找不到http请求规则的设置，怎么办？

　　别着急，你现在可以手动修改BlackICE配制文件，BlackICE安装目录找到：blackice.ini，先把它备份一下，然后用编辑器或记事本打开它：

找到“http.urllimits=on”这一行，把on改成off，就关闭了这个拦截规则。是不是很简单！

特别注意：
　　从此，BlackICE将不会对http长字节和二进制字符的请求进行侦查，也就是说你的Web系统将面临代码注入式攻击的风险。
　　除非你对自己开发的Web应用程序很有信心，同时还要进行严格的配置SQL用户权限，才能降低这一风险。

ScrayNetwork	#1 (permalink) 2009-03-26, 17:11
普通会员注册日期: 2009-03-26 帖子: 14 声望力: 0 下载/声望点数:34	BlackICE规则 - blackice.ini （IP被Ban掉解决方案）首先说明：此篇文章是我根据经验总结出来的，仅给遇到同样问题的站长做参考，也许有更好的解决办法，也许您觉得BlackICE很垃圾。请您手下留情！故障描述：一些正常访问网站的用户偶尔也会被黑冰给Ban掉IP，为什么会这样呢？可疑攻击描述：[Suspicious Activity] This signature detects HTTP requests with fields larger than 100 bytes and which contain more than 5 bytes of binary (non ASCII) data. 说明：HTTP请求的领域中规模较大的超过100个字节，其中超过500字节的二进制（非ASCII码）数据。（字段包含的HTTP二进制字符） BlackICE对此行为的诊断：远程攻击者可能会试图执行任意代码的Web服务器发送特制的URL含有过多的二进制字符的HTTP领域。　　由此可见，BlackICE对注入式攻击也能够起到一定的防范作用。　　但是，由于BlackICE是启发式工作，而不是找出一个已知的攻击，因此，我认为这个事件的触发偶尔也会发现在正常的http请求当中。解决方案：那么我们如何解决掉这一问题呢？BlackICE界面中找不到http请求规则的设置，怎么办？　　别着急，你现在可以手动修改BlackICE配制文件，BlackICE安装目录找到：blackice.ini，先把它备份一下，然后用编辑器或记事本打开它：找到“http.urllimits=on”这一行，把on改成off，就关闭了这个拦截规则。是不是很简单！特别注意：　　从此，BlackICE将不会对http长字节和二进制字符的请求进行侦查，也就是说你的Web系统将面临代码注入式攻击的风险。　　除非你对自己开发的Web应用程序很有信心，同时还要进行严格的配置SQL用户权限，才能降低这一风险。