阻止IP地址，防止DoS攻击

Question

所以这是关于防止DoS攻击的最佳实践的一般性问题，我只是想弄清楚大多数人如何处理来自同一IP地址的恶意请求，这是我们目前遇到的问题。

我认为最好尽可能高地阻止真正恶意IP的IP，以防止使用更多资源，尤其是在加载应用程序时。

思想？

Answer 1

您可以通过各种方式防止DoS攻击发生。

• 限制查询次数/秒 来自特定的IP地址。一旦 达到限制，你可以发送一个 重定向到缓存的错误页面 限制任何进一步处理。您 也许还能够获得这些IP 防火墙的地址，以便你不要 必须处理他们的请求 所有。限制每个IP地址的请求 如果是的话，不会很好地工作 攻击者伪造源IP地址 在他们发送的数据包中。
• 我也想尝试建立一些 智能进入您的应用程序以提供帮助 处理DoS。拿Google地图 举个例子。每个站点 我必须拥有自己的API密钥 相信仅限于50,000个请求 每天。如果您的申请有效 以类似的方式，然后你想要 很早就验证了这个密钥 请求，以便您也不要使用 请求的许多资源。一旦 对该密钥的50,000个请求是 使用过，你可以发送适当的代理 标题，以便所有未来的请求 （例如下一个小时） 该密钥由反向处理 代理。但这不是万无一失的。如果 每个请求都有不同的网址， 然后反向代理必须 通过请求传递给 后端服务器。你也会跑 如果DDOS使用很多，则会出现问题 不同的API密钥。
• 取决于目标受众 你的应用程序，你可能会 黑名单列出大的IP范围 对DDOS做出了重大贡献。 例如，如果您的Web服务是 仅限澳大利亚人，但你是 从中获取大量DDOS请求 在韩国的一些网络，然后你 可以防御韩国网络。 如果您想要您的服务 任何人都可以访问，然后你出去了 祝你好运。
• 处理DDOS的另一种方法是 关闭商店，等待它。如果 你有自己的IP地址或IP 那么你，你的托管公司 或数据中心可以空路由 交通使它进入一个街区 孔。

来自here。同一个线程上还有其他解决方案。

Answer 2

iptables -I INPUT -p tcp -s 1.2.3.4 -m statistic --probability 0.5 -j DROP iptables -I INPUT n -p tcp -s 1.2.3.4 -m rpfilter --loose -j ACCEPT
# n would be an numeric index into the INPUT CHAIN -- default is append to INPUT chain

更多... Can't Access Plesk Admin Because Of DOS Attack, Block IP Address Through SSH?