阻止IP地址，防止DoS攻擊

Question

因此，這是一個關於防止DoS攻擊的最佳實踐的常見問題，我只是想弄清楚大多數人如何處理來自同一IP地址的惡意請求我們目前遇到的問題。

我想最好阻止一個真正的惡意IP的IP儘可能高，以防止使用更多的資源，特別是當涉及到加載你的應用程序。

想法？

Answer 1

您可以以各種方式防止DoS攻擊發生。

• 限制查詢數/秒 從一個特定的IP地址。一旦達到 的限制，您可以發送 重定向到緩存的錯誤頁面，以限制任何進一步處理。你可能也能夠得到這些IP地址爲 的地址，所以你不需要 必須在 處理他們的請求。限制每IP地址 的請求不會很好地工作，雖然如果 攻擊者僞造他們發送的數據包中的源IP地址 。
• 我也想嘗試在你的應用程序中構建一些 智能來幫助 處理DoS。以Google地圖 爲例。每個單獨的網站 必須具有其自己的API密鑰，其中我認爲每天限制爲50000個請求 。如果您的應用程序以類似的方式工作 ，那麼你會想 驗證這一關鍵很早就在 請求，這樣你就不用太多 許多資源的請求。一旦 該鍵50,000請求是 使用，您可以發送相應的代理 頭，使得對於 該密鑰今後所有申請 （例如用於接下來的一個小時），因逆 代理處理。儘管如此，這並不是很好的證明。如果 每個請求具有不同的url，則 則反向代理將不得不 將請求傳遞到 後端服務器。如果DDOS使用不同API密鑰的批次 ，則還會運行 問題。
• 根據您的應用程序的目標受衆 ，您可能會將 列入黑名單，這些大型IP範圍 對DDOS有重大貢獻。 例如，如果您的網絡服務是澳大利亞唯一的 ，但您是 從 獲得很多來自韓國的某些網絡的DDOS請求，那麼您的 可能會阻止韓國網絡。 如果你希望你的服務是 任何人都可以訪問，那麼你在這一個運氣好的 。
• 另一種處理DDOS的方法是 關閉店鋪並等待它。如果 你有自己的IP地址或IP 範圍那麼你，你的託管公司 或數據中心可以空路由 流量，以便它進入一個塊 洞。

引用自here。同一線程上還有其他解決方案。

Answer 2

iptables -I INPUT -p tcp -s 1.2.3.4 -m statistic --probability 0.5 -j DROP iptables -I INPUT n -p tcp -s 1.2.3.4 -m rpfilter --loose -j ACCEPT 
# n would be an numeric index into the INPUT CHAIN -- default is append to INPUT chain 

在

更多... Can't Access Plesk Admin Because Of DOS Attack, Block IP Address Through SSH?