我在loadbalancers后面运行了几百个web服务器,托管了许多不同的站点,其中包含大量应用程序(我无法控制).大约每月一次,其中一个网站被黑客攻击,上传洪水脚本攻击一些银行或政治机构.过去,这些都是UDP泛洪,通过阻止单个Web服务器上的传出UDP流量来有效解决这些问题.昨天,他们开始使用许多TCP连接到我们的服务器,从我们的服务器充斥大型美国银行.由于这些类型的连接对我们的应用程序完全有效,因此阻止它们不是一个可接受的解决方案.

我正在考虑以下替代方案.你会推荐哪一个？你有没有实现这些,以及如何实现？

>使用源端口限制Web服务器(iptables)传出TCP数据包！= 80
>相同但排队(tc)
>每个服务器每个用户的速率限制传出流量.相当大的管理负担,因为每个应用服务器可能有1000个不同的用户.也许这个：how can I limit per user bandwidth?
>还有别的吗？

当然,我也在寻找方法来尽量减少黑客进入我们托管站点的机会,但由于该机制永远不会100％防水,我想严格限制入侵的影响.

更新：我目前正在测试这些规则,这可以防止这种特定的攻击.您如何建议使它们更通用？当我只对SYN数据包进行速率限制时,我是否错过了已知的TCP DoS攻击？

iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT
iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset

干杯!