Ssl

DDOS 攻擊防護 HAPROXY SSL

  • August 2, 2018

我試圖保護我的伺服器免受 DDOS 攻擊,我的伺服器總是重定向到 SSL/HTTPS 協議。

但我正在使用下一個配置,但它不起作用

frontend http-in
   bind *:80

   stick-table type ip size 1m expire 5m store gpc0
   tcp-request connection track-sc0 src
   tcp-request connection reject if { sc0_get_gpc0 gt 0 }
   tcp-request connection reject if { src_conn_rate(Abuse) ge 10 }
   tcp-request connection reject if { src_conn_cur(Abuse) ge 10 }
   tcp-request connection track-sc1 src table Abuse

   redirect scheme https if !{ ssl_fc }
   reqadd X-Forwarded-Proto:\ http
   default_backend code


frontend https-in
   bind *:443 ssl crt [SOME CERT]
   reqadd X-Forwarded-Proto:\ https
   default_backend code

   stick-table type ip size 1m expire 5m store gpc0
   tcp-request connection track-sc0 src
   tcp-request connection reject if { sc0_get_gpc0 gt 0 }
   tcp-request connection reject if { src_conn_rate(Abuse) ge 10 }
   tcp-request connection reject if { src_conn_cur(Abuse) ge 10 }
   tcp-request connection track-sc1 src table Abuse

backend code
   stick-table type ip size 1m expire 5m store http_req_rate(10s)
   acl click_too_fast sc1_http_req_rate gt 10
   acl mark_as_abuser sc0_inc_gpc0(http) gt 0
   tcp-request content track-sc1 src
   tcp-request content reject if click_too_fast mark_as_abuser

   balance roundrobin
   option httpclose
   option forwardfor
   cookie JSESSIONID prefix
   server node3 [SOMEIP] check
   server node4 [SOMEIP] check

我正在使用命令測試我的配置

ab -n 11 -c 1

$$ DOMAIN $$

但伺服器從不阻止我的連接,我做錯了什麼?

我從這裡得到了配置:

https://www.haproxy.com/blog/use-a-load-balancer-as-a-first-row-of-defense-against-ddos/

例如。

tcp-request connection reject if { src_conn_rate(Abuse) ge 10 }
acl mark_as_abuser sc0_inc_gpc0(http) gt 0

您沒有表格濫用或 http。表的名稱是定義它的後端或前端的名稱。您有表 http-in 和 https-in,例如。

引用自:https://serverfault.com/questions/924681