Tomcat

IP 地址過濾“之前”http 安全連接以防止 DDoS 攻擊?

  • October 9, 2011

防止 DDoS 攻擊的一種技術是監控來自給定 IP 地址的每秒請求數。當然,IP 地址可能是假的,但我們假設這不是問題。

安裝在 Tomcat 上的 Web 應用程序(例如)可以配置為僅使用安全的 http 連接(即 https)。我不是系統管理員專家,但我相信在 DDoS 攻擊的情況下,大量的 https 連接嘗試可能會造成 100% 的 CPU 峰值。

我的問題是:

  1. 對 https 的 DDoS 攻擊會造成長時間的 100% CPU 峰值嗎?
  2. 是否可以在 SSL 協商開始之前實施軟體過濾器來監控每秒請求數,以避免長時間的 100% CPU 峰值?
  3. 如果對 2. 的回答是肯定的,這可以集成到 Tomcat 中嗎?如果是怎麼辦?或者那裡有更好的解決方案?

謝謝。

編輯

如果對 2. 的回答是肯定的(但不是在 Tomcat 中),有哪些可用的解決方案?

Ubuntu 的ufw工具有一個limit選項,將服務限制為每 30 秒每個 IP 地址 6 個連接。您也可以使用iptables

許多範例用於限制ssh,但只需更改埠即可。

如果您試圖阻止攻擊,請查看ConfigServer Security & Firewall。它管理 iptables 以設置規則來阻止攻擊。它甚至會自動安裝到您的 WHM 中(如果您使用的是 WHM 系統)。

在這裡您可以找到免費版本

引用自:https://serverfault.com/questions/316794