the*_*bit 11
你没有提到你的操作系统。Linux 有netfilter/iptables,Net/Open/FreeBSD 有pf,Windows Server 2008 R2 有高级安全的Windows 防火墙,它可以很容易地根据源 IP 地址过滤流量。但是,没有什么可以(可靠地)根据地理位置进行过滤。
但是根据 DoS 攻击的类型(您也恰好在这里省略了任何细节),在 O/S 网络堆栈级别阻止流量对您没有帮助。如果 DoS 使您的带宽饱和,您需要与您的上游 ISP 交谈并要求他们进行过滤。
iptables 和 Apache 都有 geoip 模块,这将允许您将整个国家/地区列入黑名单。子网映射不是 100% 准确,但它们“非常好”。
话虽如此,如果您确实遇到了 DoS(例如您的链接变得饱和),防火墙是不够的;您的服务器仍将不得不咀嚼这些数据包,以确定它们是否应该被阻止。您需要让您的上游对您的服务器或攻击者进行无效路由——如果它是高度分布式的,那么,这实际上只是您的提供商的响应和合作程度的问题。
| 归档时间: |
|
| 查看次数: |
2027 次 |
| 最近记录: |