最近我在我的网站上遇到了很多第7层的ddos攻击。 特别是在索引页上的HTTP GET请求泛滥。 (约20k r / s),我的服务器是在OVH,所以它没有超载pipe道,但有没有办法使用iptables我可以检测IPs谁提出过多的请求,并放弃他们的连接,以避免过载我的networking服务器? 还是有更好的解决scheme来过滤这些数据包,同时不会对合法客户端产生负面影响。
我在Ubuntu 12.04上使用apache。
由于HTTP是TCP,TCP需要双向通信,攻击的源地址实际上是攻击源。
由于来源是已知的而不是欺骗性的,因此可以在iptables中进行速率限制,以大大减less每个来源的请求量。
如果有太多的资源让负载变得可以pipe理的话,那么你需要find一些关于这些请求的信息,把它们分类为可丢弃的,然后让你的web服务器把它们丢弃。 思路: