服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用2请求/秒防御DOS攻击是否好?
Intereting Posts
从辅助服务器发送邮件 .HTACCESS子域,而不是.CONF子域 SSH连接被拒绝/错误消息 在使用iptables防火墙规则时,为什么在所有允许的端口上断言NEW状态? 由于超过最大大小的行(Microsoft SQL)无法重build索引 如果没有提供TGT,通过mod_auth_kerbauthentication应该提供网站没有用户 “TARPIT”是否有任何已知的漏洞或缺点? Active Directory域重新创build与迁移 检查进程是否没有运行一段时间 完全访问用户从NTFS共享中删除 我怎样才能优化系统资源使用许多不同的gunicorn动力Django网站stream量低? WIN2k3networking共享错误? Ansible剧本问题 如何创buildvirbr0-nic? 无法在现有的活动目录林中创build新的域

用2请求/秒防御DOS攻击是否好?

很多例子告诉我每秒要有5或4个请求。

因为一般顾客在1秒或者2个链接中点击约1秒,所以每隔2个要求防御就好了。 但我害怕任何未知的缺点

所以我需要一个build议,因为我从来没有听说过2req / sec的防守

谢谢

如果你有一个页面,CSS,一些图片,一个favicon或者一个.js或者两个,当浏览器请求这个页面的时候,它现在需要获取所有其他的文件。 根据Keepalive是否受到任何一方的支持,stream水线等,我认为你可以很容易地从一个合法的连接中看到每秒5个以上的请求。

除非你使用的产品只限制提取.html,否则我认为5会太低。 你会想知道他们是什么限制和你的一般页面build设找出什么可以合理假设被要求在一秒钟。

安全性和可用性之间有一个平衡点。 太多的负面影响对方。

将您的站点限制为每秒N HTTP请求似乎不可能有效抵御DoS攻击 – 如果您在Web服务器上进行限制,它仍然在工作,如果攻击是分布式的,它将绕过任何每个客户端的限制无论如何,它将大大降低你的用户(除非你正在做类似于SO三部曲的事情,并将大量内容卸载到无保护的服务器域,请参阅sstatic.net )。

在我的书中,这涉及到两个问题:

  1. 你正在做什么? 你将来可能会被拒绝吗?
    如果你是这样的话,你想在networking级别(最好在你的上游提供商处)阻止这些攻击,然后再开始攻击你的基础设施。 如果不是,请不要担心。
  2. 你是Slashdotted?
    如果你是,这可能是一件好事。 做每个其他的小站点pipe理员(甚至是大网站pipe理员)会做的事情:在你的web服务器上启动MaxClients设置,或者用适当的内容抛出一个平坦的平坦的20世纪90年代的HTML页面,或者咬住枕头等待它要结束:)

来自单一IP的普通DoS很难与合法的浏览器活动区分开来,尤其是在AJAX刷新页面部分,多个标签页和大量图像文件的时候。 如果你的会话不被阻塞,也要准备好出现误报。

我曾经限制为5个请求/秒,但是从这个返回。 分布式拒绝服务攻击无论如何都不会被发现,而且即使没有僵尸networking也可以轻松实现。 我通过一个简单地把img-src = mypage放入页脚的warez站点接收了DDoS(是的,这是个人的事情)。 所以如果有人想通过犯罪手段杀死你的页面,他们可以很容易地做到这一点。 除了缩放到您的networking早餐吃DDoS的大小之外,您几乎可以做到这一点。