Apache-2.2
iptables 阻止第 7 層 DDoS 攻擊
最近,我的網站遭受了很多第 7 層 ddos 攻擊。特別是索引頁面上的 HTTP GET 請求氾濫。(〜20k r / s),我的伺服器在OVH,所以它不會使管道過載,但是有沒有辦法使用iptables我可以檢測到發出過多請求的IP,並斷開他們的連接以避免我的網路伺服器過載?或者是否有更好的解決方案來過濾這些數據包,同時不對合法客戶端產生負面影響。
我在 ubuntu 12.04 上使用 apache。
因為HTTP是TCP,TCP需要雙向通信,所以攻擊的源地址實際上就是攻擊源。
由於源是已知的並且不是欺騙的,因此您可以在 iptables 中進行速率限制,以大大減少每個源的請求量。
如果有太多來源無法以這種方式管理負載,您將需要找到有關請求的資訊以便能夠將它們分類為可丟棄,然後讓您的 Web 伺服器丟棄它們。想法:
- 請求所有相同的特定資源?
- 不規則的標頭(他們沒有請求壓縮嗎?發送 HTTP/1.0?當普通使用者會發送 cookie 時不發送)
- 相同或可預測的使用者代理?