ratelimit запросы POST

Я собираюсь записать это как ответ только потому, что это будет долгим. Как вы совершенно точно сказали, блокировка более 20 одновременных запросов с 1 IP-адреса не поможет. Вы должны установить более «умные» критерии. Я пойду дальше и скажу, что установка другого прокси-сервера между прокси-сервером и сервером приложений не является элегантным и нецелесообразным.

Я не знаю, почему вы хотите установить ограничение скорости перед запуском apache, потому что вы упускаете на fail2ban , mod_qos , mod-antiloris (высокоспецифичный) и других решениях. Более того, я не знаю, являются ли запросы POST вашей единственной проблемой с точки зрения DDoS.

Кеширование ответов на запросы POST возможно и имеет смысл. Если только вы не обслуживаете динамический контент каждый раз. Это, конечно, не означает, что вы можете кэшировать аутентифицированные страницы.

Вы можете применить тайм-аут запроса для POST, если запрос занял более 5 секунд. Хотя пользователи с медленным подключением не смогут ничего отправлять. Вы также можете применить правило для каждого URL-адреса в сочетании с указанным выше правилом. Это имеет смысл, поскольку для пользователя разумно отправить POST 1000 КБ на странице загрузки файла, но не на странице входа. Как я уже сказал, создайте «более умные» критерии. Они могут быть длинными, и на их формулирование может уйти некоторое время, но они предоставят вам устойчивое решение, поскольку я не знаю универсального решения, подходящего для всех в такой ситуации.

Другое решение, которое вы можете комбинировать. это брандмауэр приложений. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: не иметь возможности размещать что-либо. Вы также можете применить правило для каждого URL-адреса в сочетании с указанным выше правилом. Это имеет смысл, поскольку для пользователя разумно отправить POST 1000 КБ на странице загрузки файла, но не на странице входа. Как я уже сказал, создайте «более умные» критерии. Они могут быть длинными, и на их формулирование может уйти некоторое время, но они предоставят вам устойчивое решение, поскольку я не знаю универсального решения, подходящего для всех в такой ситуации.

Другое решение, которое вы можете комбинировать это брандмауэр приложения. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: не иметь возможности размещать что-либо. Вы также можете применить правило для каждого URL-адреса в сочетании с указанным выше правилом. Это имеет смысл, поскольку для пользователя разумно отправить POST 1000 КБ на странице загрузки файла, но не на странице входа. Как я уже сказал, создайте «более умные» критерии. Они могут быть длинными, и на их формулирование может уйти некоторое время, но они предоставят вам устойчивое решение, поскольку я не знаю универсального решения, подходящего для всех в такой ситуации.

Другое решение, которое вы можете комбинировать. это брандмауэр приложений. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: поскольку для пользователя разумно отправить POST 1000kb на страницу загрузки файла, но не на страницу входа. Как я уже сказал, создайте «более умные» критерии. Они могут быть длинными, и на их формулирование может уйти некоторое время, но они предоставят вам устойчивое решение, поскольку я не знаю универсального решения, подходящего для всех в такой ситуации.

Другое решение, которое вы можете комбинировать это брандмауэр приложений. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: поскольку для пользователя разумно отправить POST 1000kb на страницу загрузки файла, но не на страницу входа. Как я уже сказал, создайте «более умные» критерии. Они могут быть длинными, и на их формулирование может уйти некоторое время, но они предоставят вам устойчивое решение, поскольку я не знаю универсального решения, подходящего для всех в такой ситуации.

Другое решение, которое вы можете комбинировать это брандмауэр приложений. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: Я не знаю, что для всех подходит один размер.

Еще одно решение, которое вы можете комбинировать, - это брандмауэр приложений. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: Я не знаю, что для всех подходит один размер.

Еще одно решение, которое вы можете комбинировать, - это брандмауэр приложений. Может быть, больше, чем вам нужно, но это также может уберечь вас от многих других вещей. Вот страница owasp с рекомендациями и соответствующей вики

РЕДАКТИРОВАТЬ: Должен признать, у меня нет опыта работы с такой конфигурацией ( лак и антилорис ). Рано или поздно лак может кэшироваться (хотя он очень «программируемый»). Главное, что вы можете сделать, это знать схему использования и когда она отклоняется от нормы. Если вы просто хотите предотвратить этот очень специфический тип атаки, то лучше напишите правила для Varnish. Однако запросы, попадающие в apache, - это не плохо, если у вас есть соответствующие моды / конфигурации, Apache может определить, когда запрос является законным, и, таким образом, обработать его, а когда нет. Блокирование X соединений от каждого клиента НЕ является хорошим делом, если только вы не можете внести этот IP-адрес в черный список. Вы можете сделать это на apache либо через fail2ban (регулярное выражение), либо через mod_qos

Я думаю, что правильно настроенный Varnish подойдет.

Я мало знаю о wordpress, но полагаю, что действительный пост будет иметь переменную сеанса либо в файле cookie, либо параметры формы. Если да, то вы хотите ограничить либо повторяющиеся POST для одного и того же значения, либо POST без такого значения.

Я сделал запись в блоге здесь: http://blog.dansingerman.com/post / 4604532761 / how-to-block-rate-limited-traffic-with-varnish об ограничении скорости на основе IP-адреса или параметра URL; его должно быть просто настроить для POST и основываться на переменной формы или переменной cookie.