DDos-атаки уровня 7 блока Iptables
Недавно я испытывал много DDos-атак уровня 7 к моему веб-сайту. Конкретно лавинная рассылка HTTP-запроса GET на индексной странице. (~20k r/s), мой сервер в OVH, таким образом, он не перегружает канал, однако существует ли способ использовать iptables, я могу обнаружить дюйм/с, кто выполняет чрезмерные запросы и отбрасывает их соединения, чтобы не перегружать мой веб-сервер? Или есть ли лучшее решение отфильтровать эти пакеты все равно, не негативно влияя на законные клиенты.
Я использую апача на человечности 12.04.
Поскольку HTTP - это TCP, а TCP требует двунаправленной связи, исходные адреса атак фактически являются источниками атак.
Поскольку источники известны и не подделаны, вы можете оценить- limit в iptables, чтобы значительно уменьшить объем запросов на источник.
Если существует слишком много источников, чтобы можно было управлять нагрузкой таким образом, вам нужно будет найти что-нибудь о запросах, чтобы иметь возможность классифицировать их как отбрасываемые, а затем попросите веб-сервер сбросьте их. Идеи:
- Все запросы для одного и того же конкретного ресурса?
- Нерегулярные заголовки (не запрашивают ли они сжатие? Отправляют HTTP / 1.0? Не отправляют файлы cookie, когда это делают обычные пользователи)
- Тот же или предсказуемый пользовательский агент?