IP 地址过滤器在 http 安全连接“之前”可以防止 DDoS 攻击吗?

IP 地址过滤器在 http 安全连接“之前”可以防止 DDoS 攻击吗?

防范 DDoS 攻击的一种技术是监控来自特定 IP 地址的每秒请求数。当然,IP 地址可能是假的,但我们假设这不是问题。

例如,安装在 Tomcat 上的 Web 应用程序可以配置为仅使用安全的 http 连接(即 https)。我不是系统管理员专家,但我相信,在发生 DDoS 攻击的情况下,大量的 https 连接尝试可能会导致 100% 的 CPU 峰值。

我的问题是:

  1. 对 https 的 DDoS 攻击是否会导致长时间 100% 的 CPU 峰值?

  2. 是否可以实现一个软件过滤器来在 SSL 协商开始之前监控每秒的请求数,以避免长时间的 100% CPU 峰值?

  3. 如果对 2 的回答是肯定的,那么可以将其集成到 Tomcat 中吗?如果可以,该怎么做?或者有更好的解决方案吗?

谢谢。

编辑

如果对 2 的回答是肯定的(但不在 Tomcat 中),有哪些解决方案可用?

答案1

Ubuntu 的联邦快递该工具有一个limit选项,可将服务限制为每 IP 地址每 30 秒最多 6 个连接。您还可以使用iptables

许多示例都是为了限制ssh,但只需改变端口就可以了。

答案2

如果你想阻止攻击,请查看ConfigServer 安全和防火墙。它管理 iptables 以设置规则来阻止攻击。它甚至会自动安装到您的 WHM 中(如果您使用的是 WHM 系统)。

在这里你可以找到免费版本

相关内容