我在想,如果 DDoS 攻击可以通过两种方式发起:
- 发送大数据包。
- 发送许多数据包。
为什么网络管理员不限制 IP 连接,比如说 3 个用户/IP,并设置其带宽限制?
我没发现问题。我知道很多软件产品(例如 NetLimiter 3 Pro)可以很好地限制带宽,但它们不会限制用户/IP。
答案1
首先,让我们来定义一下“DDOS”这个词。它代表分布式拒绝服务,关键字正在被分发。如果你限制每个 IP 的连接数,那也没关系,因为你有十万个不同的 IP 地址在攻击你的系统。
所以你通过请求大小进行限制。太好了,你如何区分 F5ing 的人和僵尸网络中的节点?
但无论如何,假设我们有一个神奇的行为分析算法。DDoS 攻击试图耗尽服务器资源并确保机器无法访问——将复杂的数据分析投入到由资源匮乏引起的问题中将加剧问题,而不是解决它。
不幸的是,即使忽略连接也会占用一些资源。您可以考虑使用 Cloudflare 之类的服务,它将缓存与(我相信)人工辅助 DDoS 检测相结合,以降低每个请求的资源使用率,但自己重新实现这项服务可能超出了大多数项目的范围,并且会大大增加复杂性。
答案2
你不能限制他们如果有人向你射击,你如何限制他们能向你射出多少子弹?当子弹到达你身上时,伤害已经造成。