Share via

DoS-Angriff durch zu viele Postbacks pro Sitzung in InfoPath Forms Services - Ereignis-ID 5736

  • Artikel

 

Gilt für: SharePoint Server 2010 Enterprise

Letztes Änderungsdatum des Themas: 2009-08-13

Warnungsname:   InfoPath Forms Services DoS postbacks per session

Ereignis-ID:   5736

Zusammenfassung:   Für bestimmte Steuerelemente, Aktionen und Features in InfoPath-Formularen muss der Browser während einer Formularsitzung mit dem Server kommunizieren. Dieser Austausch von Daten während der Sitzung wird als Postback bezeichnet und erfolgt meistens, wenn ein Formularfeature Daten zur Verarbeitung an den Server senden muss. Unnötige Postbacks belasten sowohl den Browser als auch den Server zusätzlich. Zum Schutz des Servers ist ein Schwellenwert für die maximale Anzahl der Postbacks pro Sitzung festgelegt. Dieser beschränkt die Anzahl der Postbacks, die während einer einzigen Sitzung ausgeführt werden können, wenn ein Benutzer ein Formular ausfüllt. Er verhindert außerdem, dass Benutzer mit böswilligen Absichten den Server außer Funktion setzen können.

Ein Benutzer hat den Schwellenwert für die Anzahl der pro Formularsitzung zulässigen Postbacks überschritten. Tritt diese Bedingung ein, wird die Benutzersitzung beendet, um den Server zu schützen.

Symptome:   Die folgende Meldung kann im Ereignisprotokoll angegeben werden: Ereignis-ID: 5736 Beschreibung: Die Anzahl der Postbacks, <ganze Zahl>, hat <ganze Zahl> (der maximal zulässige Wert pro Sitzung) überschritten. Dieser Wert kann konfiguriert und vom Administrator geändert werden. (Benutzer: <Benutzername>, Formularname: <Formularname>, Anforderung: <https://servername/_layouts/Postback.Formserver.aspx>, Formular-ID: <Formular-ID>)

Ursache:   Dieses Ereignis kann eine oder mehrere der folgenden Ursachen haben:

  • Ein Benutzer hat einen DoS-Angriff (Denial of Service) auf einen Server versucht, auf dem InfoPath Forms Services in Microsoft SharePoint Server 2010 ausgeführt wird.

  • Die Anzahl der pro InfoPath-Formularsitzungsstatus zulässigen Postbacks ist zu niedrig.

Lösung:   Untersuchen Sie die Serverprotokolle auf Anzeichen für einen DoS-Angriff

  • Durchsuchen Sie das Windows-Ereignisprotokoll und die IIS-Protokolle (Internet Information Services, Internetinformationsdienste) nach Anzeichen für einen DoS-Angriff. Falls ein DoS-Angriff vorliegt und eine vom Administrator genehmigte Formularvorlage betroffen ist, entfernen Sie die Formularvorlage aus der Websitesammlung, oder deaktivieren Sie sie.

    So überprüfen Sie das Windows-Ereignisprotokoll

    1. Öffnen Sie die Windows-Ereignisanzeige.

    2. Suchen Sie im Windows-Anwendungsereignisprotokoll nach der Ereignis-ID 5736.

    3. Überprüfen Sie in der Ereignisbeschreibung die Formular-ID. Falls mehrere Ereignisse für die gleiche Formular-ID aufgezeichnet wurden, kann dies darauf hindeuten, dass ein böswilliger Benutzer mit der Absicht, den Server außer Funktion zu setzen, ein Formular bereitgestellt hat, das eine große Anzahl von Postbacks auslöst.

    So überprüfen Sie die IIS-Protokolle:

    1. Wechseln Sie zum Verzeichnis \inetpub\logs, um die IIS-Protokolle zu überprüfen.

    2. Die Einträge im IIS-Protokoll können mit den Informationen im Ereignisprotokoll im Zusammenhang stehen. Wenn das IIS-Protokoll zahlreiche GET-Anforderungen für ein bestimmtes Formular enthält und dieses Formular außerdem eine große Zahl von Postbacks auslöst, die protokolliert werden, wird möglicherweise gerade ein DoS-Angriff verübt.

    3. Die Einträge im IIS-Protokoll enthalten außerdem die IP-Adresse des Computers, von dem die Anforderung gesendet wurde.

    So deaktivieren Sie eine Formularvorlage in einer Websitesammlung

    1. Klicken Sie auf der Website für die SharePoint-Zentraladministration auf der Schnellstartleiste auf Allgemeine Anwendungseinstellungen, und klicken Sie im Abschnitt InfoPath Forms Services auf Formularvorlagen verwalten.

    2. Klicken Sie in der Liste der Formularvorlagen auf die Formularvorlage, die Sie deaktivieren möchten, und klicken Sie in der Dropdownliste auf Für Websitesammlung deaktivieren.

    3. Wählen Sie auf der Seite Formularvorlage deaktivieren: <Vorlage> im Abschnitt Deaktivierungsspeicherort die Websitesammlung aus, und klicken Sie dann auf OK.

    So entfernen Sie eine Formularvorlage vollständig

    1. Klicken Sie auf der Seite für die Zentraladministration auf der Schnellstartleiste auf Allgemeine Anwendungseinstellungen, und klicken Sie im Abschnitt InfoPath Forms Services auf Formularvorlagen verwalten.

    2. Klicken Sie in der Liste der Formularvorlagen auf die betreffenden Formularvorlage, und klicken Sie in der Dropdownliste auf Formular entfernen.

Lösung:   Erhöhen Sie die Anzahl der pro Sitzung zulässigen Postbacks

  1. Klicken Sie auf der Seite für die Zentraladministration auf der Schnellstartleiste auf Allgemeine Anwendungseinstellungen, und klicken Sie im Abschnitt InfoPath Forms Services auf InfoPath Forms Services konfigurieren.

  2. Erhöhen Sie im Abschnitt Schwellenwerte den Wert für die pro Sitzung zulässige Anzahl der Postbacks.

    Hinweis

    Wenn Sie den Wert für diese Einstellung heraufsetzen, kann dies die Serverleistung beeinträchtigen und das Risiko von DoS-Angriffen auf den Server erhöhen.