阻止未解析的 IP 地址是一个好主意吗？

Question 1

仅限制每个地址的 HTTP 请求数量不会导致阻止“未解析”的 IP 地址。

实时找出“未解析”的地址将强制每个访问者至少进行一次反向 DNS 查找。这最多会增加您的初始 HTTP 响应时间，并在名称服务器不可用和超时时创建近乎 DoS 的情况 - 您确实不希望出现这种情况。

一般来说，试图保护公开内容不被机器人抓取是一项永无止境的任务——您肯定不会让每个访问者在进入您的网站之前都通过图灵测试。任何可用的方法都只能降低您的网络服务器的负载，而不能完全防止抓取。此外，与所有基于统计的区分方法一样，减少能够访问您的内容的机器人数量不可避免地会增加因您的阻止规则而感到不便的普通人类用户的数量。

Answer

仅限制每个地址的 HTTP 请求数量不会导致阻止“未解析”的 IP 地址。

实时找出“未解析”的地址将强制每个访问者至少进行一次反向 DNS 查找。这最多会增加您的初始 HTTP 响应时间，并在名称服务器不可用和超时时创建近乎 DoS 的情况 - 您确实不希望出现这种情况。

一般来说，试图保护公开内容不被机器人抓取是一项永无止境的任务——您肯定不会让每个访问者在进入您的网站之前都通过图灵测试。任何可用的方法都只能降低您的网络服务器的负载，而不能完全防止抓取。此外，与所有基于统计的区分方法一样，减少能够访问您的内容的机器人数量不可避免地会增加因您的阻止规则而感到不便的普通人类用户的数量。

Question 2

我不了解 awstats 的详细信息，但我认为“未解析”状态确实适用于所有没有反向 DNS 记录的 IP 地址。阻止所有来自没有反向记录的 IP 地址的流量将杀死大量正常访问者。

尝试通过检查网站日志来选择性地阻止机器人。您可以使用 fail2ban 以自动方式阻止此流量。fail2ban 基于日志文件分析，因此您只需在 access.log 中找到一个模式并相应地配置 fail2ban。

Answer

我不了解 awstats 的详细信息，但我认为“未解析”状态确实适用于所有没有反向 DNS 记录的 IP 地址。阻止所有来自没有反向记录的 IP 地址的流量将杀死大量正常访问者。

尝试通过检查网站日志来选择性地阻止机器人。您可以使用 fail2ban 以自动方式阻止此流量。fail2ban 基于日志文件分析，因此您只需在 access.log 中找到一个模式并相应地配置 fail2ban。

Question 3

你的提议是基于 5% 的地址相同的地址窃取您的内容 - 但您没有说是否如此。当然，我预计您会阻止大量合法流量。

我同意 syneticon-dj 所说的大部分内容，但是还有更有效的反盗链方法（试着在谷歌上搜索该术语）。检查 referer、要求会话 ID、使用 CSRF 保护但将令牌传递到 cookie 而不是表单字段中。这提供了一种识别盗链者的机制 - 就阻止他们而言，您确实希望尽早完成此操作 - 即当您从此类 IP 获得 SYN 数据包时。这意味着在防火墙上阻止他们。Fail2ban 提供了一种基于日志条目动态重新配置防火墙的方法。但请注意，iptables 规则的长链会影响延迟，进而影响吞吐量。

Answer

你的提议是基于 5% 的地址相同的地址窃取您的内容 - 但您没有说是否如此。当然，我预计您会阻止大量合法流量。

我同意 syneticon-dj 所说的大部分内容，但是还有更有效的反盗链方法（试着在谷歌上搜索该术语）。检查 referer、要求会话 ID、使用 CSRF 保护但将令牌传递到 cookie 而不是表单字段中。这提供了一种识别盗链者的机制 - 就阻止他们而言，您确实希望尽早完成此操作 - 即当您从此类 IP 获得 SYN 数据包时。这意味着在防火墙上阻止他们。Fail2ban 提供了一种基于日志条目动态重新配置防火墙的方法。但请注意，iptables 规则的长链会影响延迟，进而影响吞吐量。

阻止未解析的 IP 地址是一个好主意吗？

答案1

答案2

答案3

相关内容