Назад | Перейти на главную страницу

Хорошо ли защищаться от DOS-атак с 2 запросами в секунду?

Множество примеров говорили мне в защиту с 5 или 4 запросами в секунду.

Поскольку обычно посетитель нажимает 1 или 2 ссылки за одну секунду, я думаю, что защита с 2 запросами в секунду - это нормально. Но я боюсь любых неизвестных недостатков

Итак, мне нужно предложение, потому что я никогда не слышал о защите с 2req / sec.

Спасибо

Ограничение вашего сайта N HTTP-запросы в секунду вряд ли будут эффективны против DoS-атаки - если вы дросселируете свой веб-сервер, он все еще работает, если атака распределена, она все равно обходит любые ограничения для каждого клиента, и она будет по-королевски разозлите своих пользователей (если вы не делаете что-то вроде трилогии SO и не выгружаете большую часть вашего контента в незащищенный домен обслуживающего персонала, см. sstatic.net).

В моей книге это сводится к двум вопросам:

  1. Вы подверглись DoS-атаке? Ты скорее всего быть DoS'd в будущем?
    Если да, то вы хотите попытаться заблокировать эти атаки на уровне сети (желательно у вашего вышестоящего провайдера), прежде чем они начнут поражать вашу инфраструктуру. Если нет, перестань об этом беспокоиться.

  2. Вас интересует Slashdot?
    Если да, то это, наверное, хорошо. Сделайте то, что сделал бы любой другой администратор небольшого сайта (и даже большой администратор сайта): включите настройку MaxClients на своем веб-сервере и либо создайте простую плоскую HTML-страницу 1990-х годов с соответствующим содержанием, либо кусайте подушку и ждите ее. чтобы быть над :)

Если у вас есть страница с CSS, несколькими изображениями, значком и, возможно, .js или двумя, когда браузер запрашивает страницу, ему теперь необходимо получить все остальные файлы. В зависимости от того, поддерживаются ли сообщения keepalive на обеих сторонах, конвейерная обработка и т. Д., Я думаю, вы можете легко увидеть 5+ запросов в секунду от легитимного соединения.

Если какой-либо продукт, который вы используете, не ограничивает выборку только для .html, я бы подумал, что 5 будет слишком мало. Вы хотели бы узнать, что они ограничивают, и общую структуру вашей страницы, чтобы выяснить, что можно было бы разумно предположить для запроса за секунду.

Существует баланс между безопасностью и удобством использования. Слишком много одного негативно влияет на другое.

Обычный DoS с одного IP-адреса трудно отличить от законной активности браузера, особенно в тех случаях, когда в игру вступают части страницы, обновляющие AJAX, несколько вкладок и множество файлов изображений. Также будьте готовы к ложным срабатываниям, если вы сделаете свои сеансы неблокирующими.

Раньше я ограничивал до 5 запросов в секунду, но отказался от этого. Распределенный DoS в любом случае не будет обнаружен, и его легко выполнить даже без бот-сетей. Я получил DDoS-атаку от сайта варез, который просто поместил img-src = mypage в нижний колонтитул (да, это было личное дело). Так что, если кто-то захочет убить вашу страницу преступным путем, он легко это сделает. С этим мало что можно сделать, кроме масштабирования до размера, при котором DDoS-атаки будут съедены на завтрак вашей сетью.