denial-of-service - 阻止IP地址，防止DoS攻击

Question

因此，这更像是关于防止 DoS 攻击的最佳实践的一般性问题，我只是想了解大多数人如何处理来自同一 IP 地址的恶意请求，这是我们目前遇到的问题。

我认为最好尽可能高地阻止真正恶意 IP 的 IP，以防止使用更多资源，尤其是在加载应用程序时。

想法？

Answer 1

您可以通过多种方式防止 DoS 攻击的发生。

限制查询次数/秒
来自特定的 IP 地址。一次
达到上限，您可以发送一个
重定向到缓存的错误页面
限制任何进一步的处理。你
或许也能得到这些IP
地址防火墙，这样你就不会
必须在
全部。限制每个 IP 地址的请求
虽然如果
攻击者伪造源IP地址
在他们发送的数据包中。

我也会尝试建立一些
智能到您的应用程序以提供帮助
处理 DoS。拿谷歌地图
举个例子。每个单独的站点
必须有它自己的 API key ，我
相信仅限于 50,000 个请求
每天。如果您的应用程序有效
以类似的方式，那么你会想要
尽早验证此 key
请求，以免您也使用
请求的许多资源。一次
对该 key 的 50,000 个请求是
用过，可以发合适的代理
header ，以便所有 future 的请求
(例如接下来的一小时)
该 key 由反向处理
代理。虽然这不是万无一失的。如果
每个请求都有不同的 url，
那么反向代理将不得不
将请求传递给
后端服务器。你也会跑
如果 DDOS 使用了很多，就会出现问题
不同的 API key 。

根据目标受众
你的应用程序，你也许可以
将大型 IP 范围列入黑名单
对 DDOS 的贡献很大。
例如，如果您的 Web 服务是
仅限澳大利亚人，但你是
收到大量 DDOS 请求
韩国的一些网络，然后你
可以防火墙韩国网络。
如果您希望您的服务成为
任何人都可以访问，那么你就出局了
运气好。

处理 DDOS 的另一种方法是
关闭商店并等待它。如果
你有自己的IP地址或IP
范围然后你，你的托管公司
或者数据中心可以空路由
交通，使其进入一个街区
洞。

引用自 here .在同一线程上也有其他解决方案。