我怎样才能停止在我的服务器上运行多请求脚本的客户端,该脚本无论如何都会重新连接并继续,而不会影响从与攻击者相同的 IP 连接到我的服务器的其他人/客户端?
每个连接的端口都不同,所以我不能使用它
答案1
您无法在 TCP/IP 级别执行此操作。正如您正确猜测的那样,防火墙只关心 IP 地址和端口,它对进程正在做什么或谁在客户端系统上运行它一无所知。
您需要使用其他系统来分析应用程序级别的流量并阻止不需要的请求。
哪个系统?这很大程度上取决于应用程序。你甚至没有提到你在谈论哪种服务。
答案2
正如 Massimo 正确指出的那样,它不能仅在 TCP 级别执行。如果您正在运行自己的 Web 服务器,则将 IP 列入黑名单绝对可以立即预防针对您系统的攻击来自特定 IP。
但它是否总是来自同一个 IP 并需要一定的时间?如果是,听起来像是 DoS(来自单一来源,标准攻击)/ DDoS 攻击(来自多个来源)..你知道黑客肯定会使用 IP 欺骗来对目标设备发起攻击。虽然无法阻止 IP 欺骗,但可以采取措施阻止欺骗数据包渗透网络。
WAF(Web 应用防火墙)的作用类似于反向代理(将其置于 Internet 和原始服务器之间),可以缓解分层 DDoS 攻击。基于网络的 WAF 比可以集成到应用软件中的基于主机的 WAF 更昂贵。您最好选择基于云的 WAF,因为在前面提到的选项中,它是最实惠的。
答案3
如果攻击者从与合法用户相同的 IP 地址访问您的系统,那么她就是在滥用拥有该地址的系统。在这种情况下,最好的办法是识别她并在该系统上阻止她。如果该系统不在您的控制之下,您可以通过将 IP 地址列入黑名单或限制访问速率来激励其所有者帮助您,直到问题得到解决。
答案4
如果这个 IP 地址不一定属于您的某个客户,请检查WHOIS的信息IP。您可以使用
在滥用联系电子邮件中查找“滥用”一词。向他们发送包含相关日志的电子邮件。通常,他们会为您开具一张票据,通知其客户停止滥用行为,然后要求您在一定时间后报告,如果他们不停止的话。经过几个周期后,他们可以帮助解决问题
如果该IP属于某个客户,则与他们合作获取相关的IP日志,并要求他们识别问题用户。