Как я могу остановить клиента, который запускает на моем сервере сценарий с несколькими запросами, который повторно подключается и продолжает работу, несмотря ни на что, не затрагивая других людей / клиентов, которые подключены к моему серверу с того же IP-адреса, что и злоумышленник?
Порт отличается для каждого соединения, поэтому я не могу его использовать
Вы не можете этого сделать на уровне TCP / IP. Как вы правильно догадались, брандмауэр заботится только об IP-адресах и портах, он ничего не знает о том, что делает процесс или кто его запускает в клиентской системе.
Вам нужно использовать какую-то другую систему, чтобы анализировать трафик на уровне приложений и блокировать нежелательные запросы.
Какая система? Это сильно зависит от приложения. Вы даже не упомянули, о каком сервисе говорите.
Как правильно заметил Массимо, это не может быть выполнено только на уровне TCP. Если вы используете свой собственный веб-сервер, занесение IP-адреса в черный список определенно является немедленной профилактикой, если атака была направлена на вашу систему с определенного IP-адреса.
Но всегда ли он исходит с одного и того же IP-адреса и занимает определенное время? Если да, звучит как DoS (исходящий из одного источника, стандартная атака) / DDoS-атака (из нескольких источников) ... вы знаете, что хакеры определенно используют спуфинг IP, чтобы вызвать атаку на целевое устройство. Хотя IP-спуфинг невозможно предотвратить, можно принять меры, чтобы не дать поддельным пакетам проникнуть в сеть.
WAF (брандмауэр веб-приложений) действует так же, как обратный прокси-сервер (при размещении его между Интернетом и исходным сервером) и может смягчить уровень DDoS-атаки. Сетевой WAF дороже, чем хост-WAF, который может быть интегрирован в программное обеспечение приложения. Лучше выбрать облачный WAF, который является наиболее доступным из уже упомянутых вариантов.
Если злоумышленник приходит в вашу систему с того же IP-адреса, что и законные пользователи, то он злоупотребляет системой, которой принадлежит этот адрес. В таком случае лучше всего идентифицировать и заблокировать ее в этой системе. Если эта система не находится под вашим контролем, вы можете мотивировать ее владельца помочь вам, занеся в черный список или ограничив IP-адрес до тех пор, пока проблема не будет решена.
Если это IP-адрес, который не обязательно принадлежит одному из ваших клиентов, проверьте WHOIS информация для IP. Ты можешь использовать
Найдите слово "abuse" в адресе электронной почты для связи со злоупотреблениями. Отправьте им электронное письмо с соответствующими журналами. Обычно они открывают для вас заявку и уведомляют своих клиентов, чтобы они прекратили оскорбительное поведение, а затем просят вас сообщить через определенное время, если они не прекратят. Через несколько циклов они могут помочь избавиться от проблемы.
Если этот IP-адрес принадлежит определенному клиенту, поработайте с ним с соответствующими журналами IP-адресов и попросите их идентифицировать неисправного пользователя.