阻止IP地址,防止DoS攻击

Question

所以这是关于防止DoS攻击的最佳实践的一般性问题,我只是想弄清楚大多数人如何处理来自同一IP地址的恶意请求,这是我们目前遇到的问题.

我认为最好尽可能高地阻止真正恶意IP的IP,以防止使用更多资源,特别是在加载应用程序时.

思考？

Answer 1

您可以通过各种方式防止DoS攻击发生.

• 限制特定IP地址的查询/秒数.达到限制后,您可以将重定向发送到缓存的错误页面以限制任何进一步处理.您也可以将这些IP地址防火墙,以便您根本不必处理他们的请求.如果攻击者在他们发送的数据包中伪造源IP地址,则每个IP地址的限制请求将无法正常工作.
• 我还试图在你的应用程序中构建一些智能来帮助处理DoS.以谷歌地图为例.每个站点都必须拥有自己的API密钥,我相信每天只能有50,000个请求.如果您的应用程序以类似的方式工作,那么您希望在请求的早期验证此密钥,以便您不会为请求使用太多资源.一旦使用了该密钥的50,000个请求,您就可以发送适当的代理标头,以便反向代理处理该密钥的所有未来请求(例如,下一个小时).但这不是万无一失的.如果每个请求都有不同的URL,则反向代理必须将请求传递给后端服务器.如果DDOS使用了许多不同的API密钥,您也会遇到问题.
• 根据应用程序的目标受众,您可能能够列出对DDOS有重大贡献的大型IP范围.例如,如果您的Web服务仅供澳大利亚人使用,但是您从韩国的某些网络获得了大量DDOS请求,那么您可以防御韩国网络.如果您希望任何人都可以访问您的服务,那么您在这个问题上运气不佳.
• 处理DDOS的另一种方法是关闭商店并等待它.如果您拥有自己的IP地址或IP范围,那么您,您的托管公司或数据中心可以对流量进行空路由,以使其进入块洞.

从这里引用.在同一个线程上也有其他解决方案.