1. дома
  2. Вопрос и ответ
  3. Блокирование IP-адресов, предотвращающих DoS-атаки

Блокирование IP-адресов, предотвращающих DoS-атаки

2010-08-27 6 views
4

Так что это более общий вопрос о наилучшей практике предотвращения DoS-атак. Я просто пытаюсь понять, как большинство людей обрабатывают вредоносные запросы с одного и того же IP-адреса, который проблема, которую мы в настоящее время имеем.Блокирование IP-адресов, предотвращающих DoS-атаки

Я полагаю, что лучше заблокировать IP-адрес действительно вредоносного IP настолько высоко, насколько это возможно, чтобы предотвратить использование большего количества ресурсов, особенно когда дело доходит до загрузки вами приложения.

Мысли?

источник

2010-08-27 JP Silvashy

+0

Интересно, если это может быть лучший вопрос для сайта ServerFault? –

+0

Это не связано с программированием, и здесь нет темы. –

+0

вы также можете попробовать mod_qos, mod_evasive, если вы используете apache, вы должны прочитать http://weblogs.asp.net/omarzabir/archive/2007/10/16/prevent-denial-of-service-dos-attacks-in -your-web-application.aspx –

ответ

10

Вы можете предотвратить атаки DoS различными способами.

  • Ограничение количества запросов/секунд с определенного IP-адреса. Как только предел достигнут, вы можете отправить перенаправление на страницу с кешированной ошибкой до , чтобы ограничить дальнейшую обработку. Вы, , также можете получить эти IP-адреса , так что вам не нужно обрабатывать свои запросы по адресу . Ограничение запросов на IP-адрес не очень хорошо работает, хотя если злоумышленник подгоняет исходный IP-адрес в отправляемых пакетах.
  • Я бы также попытался построить в вашем приложении smarts, чтобы помочь , касающимся DoS. Возьмите карты Google в качестве примера. Каждый отдельный сайт должен иметь свой собственный ключ API, который I считает ограниченным 50 000 запросами в день. Если ваша заявка работала аналогичным образом, то вы бы хотели, чтобы очень быстро подтвердили этот ключ в запросе, чтобы вы не использовали слишком много ресурсов для запроса. После того, как 50000 запросов для этого ключа являются используются, вы можете отправить соответствующий прокси заголовков, такие, что все будущие запросы (в течение следующего часа, например) для , что ключ обрабатываются в обратном прокси. Однако это не дурацкое доказательство. Если каждый запрос имеет другой url, , тогда обратный прокси должен будет передать запрос на сервер базы данных . Вы также запустили бы в проблему, если DDOS использовал лоты различных ключей API.
  • В зависимости от целевой аудитории для вашего приложения, возможно, вы можете использовать в черный список больших диапазонов IP, которые вносят значительный вклад в DDOS. Например, если ваш веб-сервис только для австралийцев, но вы были , получив много DDOS-запросов от некоторых сетей в Корее, тогда вы могли бы использовать брандмауэр в корейских сетях. Если вы хотите, чтобы ваша служба была доступна всем, то вы отсутствуете удачи на этом.
  • Другой подход к работе с DDOS - закрыть магазин и подождать. Если у вас есть свой собственный IP-адрес или IP-адрес , то вы, ваша хостинговая компания , или дата-центр может направить маршрут , чтобы он попал в блок отверстие.

Реферат от here. В одной и той же теме есть и другие решения.

источник

2010-08-27 18:27:27 YoK

+0

Эй, Удивительные советы, мне нравится идея фактически использовать брандмауэр ... У меня всегда создалось впечатление, что брандмауэры, где для корпоративных почтовых серверов или что-то еще ... ха-ха. Полагаю, у них есть цель. Благодаря! –

+0

Кажется, что стена огня может иметь возможность разрешать только X количество запросов в час, день и т. Д. С заданного IP-адреса. Я не специалист по брандмауэру. Кто-нибудь знает, могут ли эти типы правил работать с брандмауэром? – RayLoveless

 Смежные вопросы

  • Нет связанных вопросов^_^