阻止IP地址,防止DoS攻击

时间:2010-08-27 17:44:46

标签: denial-of-service

所以这是关于防止DoS攻击的最佳实践的一般性问题,我只是想弄清楚大多数人如何处理来自同一IP地址的恶意请求,这是我们目前遇到的问题。

我认为最好尽可能高地阻止真正恶意IP的IP,以防止使用更多资源,尤其是在加载应用程序时。

思想?

2 个答案:

答案 0 :(得分:11)

您可以通过各种方式防止DoS攻击发生。

  • 限制查询次数/秒 来自特定的IP地址。一旦 达到限制,你可以发送一个 重定向到缓存的错误页面 限制任何进一步处理。您 也许还能够获得这些IP 防火墙的地址,以便你不要 必须处理他们的请求 所有。限制每个IP地址的请求 如果是的话,不会很好地工作 攻击者伪造源IP地址 在他们发送的数据包中。
  • 我也想尝试建立一些 智能进入您的应用程序以提供帮助 处理DoS。拿Google地图 举个例子。每个站点 我必须拥有自己的API密钥 相信仅限于50,000个请求 每天。如果您的申请有效 以类似的方式,然后你想要 很早就验证了这个密钥 请求,以便您也不要使用 请求的许多资源。一旦 对该密钥的50,000个请求是 使用过,你可以发送适当的代理 标题,以便所有未来的请求 (例如下一个小时) 该密钥由反向处理 代理。但这不是万无一失的。如果 每个请求都有不同的网址, 然后反向代理必须 通过请求传递给 后端服务器。你也会跑 如果DDOS使用很多,则会出现问题 不同的API密钥。
  • 取决于目标受众 你的应用程序,你可能会 黑名单列出大的IP范围 对DDOS做出了重大贡献。 例如,如果您的Web服务是 仅限澳大利亚人,但你是 从中获取大量DDOS请求 在韩国的一些网络,然后你 可以防御韩国网络。 如果您想要您的服务 任何人都可以访问,然后你出去了 祝你好运。
  • 处理DDOS的另一种方法是 关闭商店,等待它。如果 你有自己的IP地址或IP 那么你,你的托管公司 或数据中心可以空路由 交通使它进入一个街区 孔。

来自here。同一个线程上还有其他解决方案。

答案 1 :(得分:0)

iptables -I INPUT -p tcp -s 1.2.3.4 -m statistic --probability 0.5 -j DROP iptables -I INPUT n -p tcp -s 1.2.3.4 -m rpfilter --loose -j ACCEPT
# n would be an numeric index into the INPUT CHAIN -- default is append to INPUT chain

更多... Can't Access Plesk Admin Because Of DOS Attack, Block IP Address Through SSH?