阻止IP地址，防止DoS攻击

Question

因此，这是一个关于防止DoS攻击的最佳实践的一般性问题，我只是想了解大多数人是如何处理来自同一IP地址的恶意请求的，而这正是我们目前面临的问题。

我认为最好是尽可能高地拦截真正恶意IP的IP，以防止使用更多的资源，特别是在加载应用程序时。

有什么想法？

Answer 1

您可以通过多种方式防止DoS攻击的发生。

• 限制来自特定ip地址的每秒查询数。达到限制后，您可以向缓存的错误页发送重定向，以限制任何进一步的处理。您还可以将这些IP地址设置为防火墙，这样您就完全不必处理他们的请求。如果攻击者在他们发送的数据包中伪造了源IP地址，那么限制每个IP地址的请求将不会很有效。
• 我也会尝试在你的应用程序中构建一些智能来帮助处理DoS。以谷歌地图为例。每个单独的站点都必须有自己的API密钥，我相信每天只能有50,000个请求。如果您的应用程序以类似的方式工作，那么您应该在请求的早期验证这个键，这样您就不会为请求使用太多的资源。一旦使用了对该键的50,000个请求，您就可以发送适当的代理头，以使对该键的所有未来请求(例如，下一小时)都由反向代理处理。然而，这不是愚蠢的证明。如果每个请求具有不同的url，则反向代理将不得不将请求传递到后端服务器。如果DDOS在您的应用程序的目标受众上使用了许多不同的API keys.
• Depending，那么您还会遇到一个问题，您可能会将对DDOS有重要影响的大IP范围列入黑名单。例如，如果您的web服务仅适用于澳大利亚，但您从韩国的某些网络收到了大量DDOS请求，那么您可以对韩国网络进行防火墙。如果你想让任何人都可以访问你的服务，那么你在这个问题上就不走运了。
• 处理DDOS的另一种方法是关闭商店，等待它的结束。如果您有自己的IP地址或IP范围，那么您、您的托管公司或数据中心可以对流量进行空路由，从而使其进入阻塞漏洞。

从here引用。在同一个线程上也有其他解决方案。

Answer 2

iptables -I INPUT -p tcp -s 1.2.3.4 -m statistic --probability 0.5 -j DROP iptables -I INPUT n -p tcp -s 1.2.3.4 -m rpfilter --loose -j ACCEPT
# n would be an numeric index into the INPUT CHAIN -- default is append to INPUT chain

更多信息在...Can't Access Plesk Admin Because Of DOS Attack, Block IP Address Through SSH?