Apache: Giới hạn số lượng yêu cầu / lưu lượng trên mỗi IP?

Tôi muốn chỉ cho phép một IP sử dụng tối đa 1GB lưu lượng truy cập mỗi ngày và nếu vượt quá giới hạn đó, tất cả các yêu cầu từ IP đó sẽ bị hủy cho đến ngày hôm sau. Tuy nhiên, một giải pháp đơn giản hơn trong đó kết nối bị hủy sau một số lượng yêu cầu nhất định sẽ đủ.

Đã có một số loại mô-đun có thể làm điều này? Hoặc có lẽ tôi có thể đạt được điều này thông qua một cái gì đó như iptables?

Cảm ơn

Nếu bạn muốn một giải pháp thuần túy bw_mod cho Apache 2.0 và mod_bandband cho Apache 1.3. Họ có thể điều tiết băng thông của máy chủ của bạn để hạn chế sử dụng băng thông.

Ngoài ra còn có mod_limitipconn, ngăn một người dùng thực hiện nhiều kết nối đến máy chủ của bạn. mod_cband là một tùy chọn khác, nhưng tôi chưa bao giờ sử dụng nó.

Nếu bạn không muốn gây rối với cài đặt Apache của mình, bạn có thể đặt proxy mực trước Apache. Nó cung cấp cho bạn nhiều quyền kiểm soát hơn đối với điều tiết.

Tuy nhiên, trong hầu hết các trường hợp, sự cố là một vài đối tượng lớn khi bạn muốn giới hạn băng thông trên mỗi IP và bạn muốn đưa ra thông báo lỗi nghiêm trọng khi người dùng kéo quá nhiều dữ liệu và bạn chặn anh ta. Trong trường hợp đó, có thể dễ dàng hơn để viết một tập lệnh PHP và lưu trữ thông tin truy cập trong một bảng tạm thời trong cơ sở dữ liệu.

Đây là giải pháp iptables của tôi cho loại vấn đề này. Điều chỉnh --seconds --hitcountkhi bạn cần, cũng bảng iptables.

iptables -A FORWARD -m state --state NEW -m recent --rcheck --seconds 600 --hitcount 5 --name ATACK --rsource -j REJECT --reject-with icmp-port-unreachable
iptables -A FORWARD -d 192.168.0.113/32 -o eth1 -p tcp -m tcp --dport 80 -m recent --set --name ATACK --rsource -j ACCEPT

Giải thích:

1. iptableskiểm tra xem IP nguồn có được liệt kê trên tệp / Proc / net / ipt_recent / ATACK trong 5 lần trở lên trong khoảng thời gian 600 giây không và nếu đó là yêu cầu MỚI. Nếu có, hãy từ chối; khác

2. iptables kiểm tra xem yêu cầu có được chuyển đến cổng 80. Nếu vậy, hãy in IP và dấu thời gian sang / Proc / net / ipt_recent / ATACK và chuyển tiếp gói.

Nó hoạt động tốt cho nhu cầu của tôi.

Bạn đã xem một công cụ như fail2ban chưa? Nếu có thể hơi nặng tay với bạn, nhưng nó sẽ cho phép bạn giới hạn số lượng yêu cầu mà bất kỳ IP cụ thể nào được cho phép. Nó hoạt động bằng cách xem nhật ký và bạn đặt quy tắc cho phép có bao nhiêu vi phạm mỗi lần được phép, vì vậy đối với bạn đó có thể là yêu cầu mỗi ngày. Một khi họ đi qua nó có thể làm những việc như chặn họ bằng cách sử dụng ipchains.

Tôi đã sử dụng nó để chặn các cuộc tấn công DDoS chống lại máy chủ thư rất thành công. Nó có thể tiêu thụ một lượng đáng kể sức mạnh của bộ xử lý.

thử mod_dosevasivehaymod_security

mod_dosevasive có thể được cấu hình để cấm IP sau một số lượng hoặc yêu cầu trang được chỉ định đến một trang web trong khung thời gian được chỉ định.