Я хотел бы правило мод-безопасности, которое берет список IP-адресов из текстового файла данных, и если IP-адрес клиента не соответствует ни одному из них, то скорость ограничивает запросы до 200 запросов в минуту.
Ограничение скорости Mod-Security для IP-адресов клиентов, не внесенных в белый список.
Ответы (1)
Не используйте для этого ModSecurity. Это не очень удобно для обработки постоянных переменных между запросами, что необходимо для любого типа ограничения скорости. Функциональность есть, но из-за дискового хранилища SDBM, используемого для реализации этого, это не работает ни при какой реальной нагрузке. См. эту дискуссию в ветке рассылки ModeSecurity в качестве одного из многих примеров веток. на эту тему.
Для меня это не будет вариантом в ModSecurity, пока не будет использоваться какое-либо недисковое хранилище, поэтому лучше следить за эта ошибка, чтобы увидеть, когда она будет реализована.
Вместо этого посмотрите на fail2ban или другую защиту брандмауэра.
person
Barry Pollard
schedule
23.03.2017
Спасибо за информативный ответ. Есть ли другой способ защиты от большого трафика, кроме ограничения скорости?
- person Marcus; 23.03.2017
Не совсем в ModSecurity. См. мой ответ в теме выше (sourceforge.net/p/mod-security/ mailman/message/34393121) относительно некоторых вещей, которые вы можете сделать, чтобы заставить его работать, но, в конечном счете, ModSecurity хорошо защищает на основе запроса и запроса, но не перекрестного запроса(ов). основа.
- person Barry Pollard; 23.03.2017
