Brute-Force-Attacks
阻止HTTP基本身份驗證蠻力的正確方法是什麼?
這是我的想法,
設置一個門檻值,比如一分鐘 30 次,然後阻止這個 IP 幾分鐘。
但是如果攻擊者偽造源IP地址,這可能會立即阻止合法使用者。
我現在很困惑。
在所有類型的服務(包括 http 基本身份驗證)上阻止暴力破解的常用方法是fail2ban。機器人無法為完整的 TCP 連接(在您的情況下為 HTTP 請求)偽造源 IP 地址,您不必擔心這一點。(請參閱IP 地址“容易偽造”嗎?)