我在 ISP 工作,當使用者的信用為零時,所有 HTTP 請求 NAT 到我的網頁伺服器(Apache 2.2)進行付款。
如果使用者的下載程式或自動更新程式正在運行,所有這些請求都會傳送到我的網頁伺服器,而此操作會導致 75% 的 Apache 回應為 404。
我想限製或快取或丟棄這些請求資料包。有沒有人有辦法解決嗎?在 Apache 或防火牆或路由器層級。
答案1
這個問題沒有好的解決方案 - Apache 需要處理請求才能呈現“Pay Up, Sucker!”頁。您所做的任何阻止請求發送到 Apache 的操作都必鬚髮生在網絡層,此時您的用戶將不再獲得強制門戶頁面,而是會致電您的幫助台尖叫“它壞了!”
坦白說你不應該關心如果強制門戶伺服器正在消耗 CPU/RAM/其他任何東西 - 將付款頁面放在專用盒子上並讓它受到攻擊。點擊它的人都是賴帳者,如果他們必須點擊幾次重新加載才能進入付款頁面,那就這樣吧。
此外,您的支付伺服器可能不應該返回 404曾經-- 它應該為收到的任何請求提供付款頁面服務,無論 URL 是什麼...
答案2
幾個選項:
使用 nginx 或其他具有包羅萬象的配置的「輕型」http 伺服器
對每個來源 IP 使用基於 iptables 的速率限制 [google 的關鍵字:iptables hashlimit],並拒絕或默默地刪除不需要的請求百分比,並僅透過少數請求。