IP 地址過濾“之前”http 安全連接以防止 DDoS 攻擊？

防止 DDoS 攻擊的一種技術是監控來自給定 IP 地址的每秒請求數。當然，IP 地址可能是假的，但我們假設這不是問題。

安裝在 Tomcat 上的 Web 應用程序（例如）可以配置為僅使用安全的 http 連接（即 https）。我不是系統管理員專家，但我相信在 DDoS 攻擊的情況下，大量的 https 連接嘗試可能會造成 100% 的 CPU 峰值。

我的問題是：

1. 對 https 的 DDoS 攻擊會造成長時間的 100% CPU 峰值嗎？
2. 是否可以在 SSL 協商開始之前實施軟體過濾器來監控每秒請求數，以避免長時間的 100% CPU 峰值？
3. 如果對 2. 的回答是肯定的，這可以集成到 Tomcat 中嗎？如果是怎麼辦？或者那裡有更好的解決方案？

謝謝。

編輯

如果對 2. 的回答是肯定的（但不是在 Tomcat 中），有哪些可用的解決方案？

Ubuntu 的ufw工具有一個limit選項，將服務限制為每 30 秒每個 IP 地址 6 個連接。您也可以使用iptables。

許多範例用於限制ssh，但只需更改埠即可。

如果您試圖阻止攻擊，請查看ConfigServer Security & Firewall。它管理 iptables 以設置規則來阻止攻擊。它甚至會自動安裝到您的 WHM 中（如果您使用的是 WHM 系統）。

在這裡您可以找到免費版本。

引用自：https://serverfault.com/questions/316794