iptables 阻止第 7 層 DDoS 攻擊

最近，我的網站遭受了很多第 7 層 ddos​​ 攻擊。特別是索引頁面上的 HTTP GET 請求氾濫。（〜20k r / s），我的伺服器在OVH，所以它不會使管道過載，但是有沒有辦法使用iptables我可以檢測到發出過多請求的IP，並斷開他們的連接以避免我的網路伺服器過載？或者是否有更好的解決方案來過濾這些數據包，同時不對合法客戶端產生負面影響。

我在 ubuntu 12.04 上使用 apache。

因為HTTP是TCP，TCP需要雙向通信，所以攻擊的源地址實際上就是攻擊源。

由於源是已知的並且不是欺騙的，因此您可以在 iptables 中進行速率限制，以大大減少每個源的請求量。

如果有太多來源無法以這種方式管理負載，您將需要找到有關請求的資訊以便能夠將它們分類為可丟棄，然後讓您的 Web 伺服器丟棄它們。想法：

• 請求所有相同的特定資源？
• 不規則的標頭（他們沒有請求壓縮嗎？發送 HTTP/1.0？當普通使用者會發送 cookie 時不發送）
• 相同或可預測的使用者代理？

引用自：https://serverfault.com/questions/676862