反向DoS攻击？

Question

假设我有一个5 mbps向上和50 mbps的向下链接。我运行的web服务器有一个相当大的资源(它大约是1兆比特，而不是字节)。有什么可以阻止一个恶意的人在他的机器上运行5个curl实例，通过一个不同的代理运行每个实例，并请求将我的文件发送给他们？那样的攻击会阻塞我的上行链路吗？这种攻击有效吗？

Answer 1

我不认为这本身就是一种攻击，因为对于文件服务器来说，这是一个非常常见的场景。如果你害怕耗尽你的带宽，那么限制每个地址的请求。很明显，正如你提到的，这并不能保护你免受代理人的伤害。您可以做的最好的事情是阻止通过URL直接访问文件，这样就可以控制请求。

托管服务，例如Sourceforge，使用一个计数器系统，在服务文件之前等待几秒钟。您可以这样做，以便更均匀地分发请求。

如果您想一路走下去，请记住服务器上的会话/地址/客户端数据，这样您就可以限制每天/小时/.另一种选择是，只有当客户端拥有某个令牌时才允许下载。

当然，以上都是除了一个好的防火墙，这是(当设置正确)已经能够检测假播放。

Answer 2

有三个问题：

有什么可以阻止一个恶意的人在他的机器上运行5个curl实例，通过一个不同的代理运行每个实例，并请求将我的文件发送给他们？

没什么，你不能阻止某人做某事。您能做的最好的就是调整您的can服务器配置，以限制接受的请求。

那样的攻击会阻塞我的上行链路吗？

当然是的。

那种攻击能起作用吗？

再一次，当然是。

我想补充的是，它甚至不可能是一种攻击，只有少数人诚实地下载文件(例如，因为您给了他们链接)将达到完全相同的结果，您的上行链路将被100%地使用，直到每个人都下载了该文件。

因此，即使是一个向下链接在5Mb/s以上的人，在下载文件的时候，也会100%地使用你的向上链接(一个1Mb文件大约是0.2秒)。

现在，如果您收到10个请求到您的文件，您将不得不发送10 of的数据，应该使用您的链接大约2秒。

这些数学并不是精确的时间，因为涉及到更多的TCP握手，并且在互联网上可能会有一些滞后，但我希望这能给你一个关于为什么会发生的想法:)