阻止 IP 地址，防止 DoS 攻击

Question

因此，这更多的是关于防止 DoS 攻击的最佳实践的一般性问题，我只是想了解大多数人如何处理来自同一 IP 地址的恶意请求，这也是我们目前遇到的问题。

我认为最好尽可能高地阻止真正恶意的 IP，以防止使用更多资源，尤其是在加载应用程序时。

想法？

Answer 1

您可以通过多种方式防止 DoS 攻击的发生。

• 限制每秒查询数
  来自特定的 IP 地址。一次
  已达到限制，您可以发送
  重定向到缓存的错误页面
  限制任何进一步的处理。你
  或许还可以获得这些IP
  地址已受防火墙保护，这样您就不会
  必须处理他们的请求
  全部。限制每个 IP 地址的请求
  但如果
  攻击者伪造源IP地址
  在他们发送的数据包中。
• 我也想尝试建立一些
  智能融入您的应用程序以提供帮助
  处理 DoS。使用谷歌地图
  举个例子。每个单独的站点
  必须有它自己的 API 密钥，我
  相信限制为 50,000 个请求
  每天。如果您的应用程序有效
  以类似的方式，那么你想要
  尽早验证此密钥
  请求，这样你就不会使用太多
  请求的许多资源。一次
  该密钥的 50,000 个请求是
  使用过的，可以发合适的代理
  标头，以便所有未来的请求
  （例如下一小时）
  该键由反向处理
  代理人。但这并不是万无一失的。如果
  每个请求都有不同的 url，
  那么反向代理将不得不
  将请求传递给
  后端服务器。你也会跑
  如果 DDOS 使用大量，就会出现问题
  不同的 API 密钥。
• 取决于目标受众
  您的应用程序，您也许能够
  将较大的 IP 范围列入黑名单
  对 DDOS 贡献显着。
  例如，如果您的网络服务是
  仅限澳大利亚人，但你是
  收到大量 DDOS 请求
  韩国的一些网络，然后你
  可以防火墙韩国网络。
  如果您希望您的服务是
  任何人都可以访问，那么你就出局了
  祝你好运。
• 处理 DDOS 的另一种方法是
  关闭商店并等待。如果
  你有自己的IP地址或IP
  范围然后你，你的托管公司
  或者数据中心可以将空路由
  流量，使其进入一个块
  洞。

引用自此处。同一线程上还有其他解决方案。

Answer 2

iptables -I INPUT -p tcp -s 1.2.3.4 -m statistic --probability 0.5 -j DROP iptables -I INPUT n -p tcp -s 1.2.3.4 -m rpfilter --loose -j ACCEPT
# n would be an numeric index into the INPUT CHAIN -- default is append to INPUT chain

更多在...
可以'由于 DOS 攻击而访问 Plesk Admin，通过 SSH 阻止 IP 地址？