阻止 HTTP 基本身份验证暴力破解的正确方法是什么?

阻止 HTTP 基本身份验证暴力破解的正确方法是什么?

这是我的想法,

设置一个阈值,比如一分钟30次,然后阻止该IP几分钟。

但如果攻击者伪造源 IP 地址,这可能会立即阻止合法用户。

现在我很困惑。

答案1

阻止所有类型服务(包括 http basic auth)暴力破解的常用方法是失败2ban。机器人无法伪造完整 TCP 连接(在您的情况下为 HTTP 请求)的源 IP 地址,您不必担心这一点。(请参阅IP 地址是否“很容易伪造”?

相关内容