如何防范这样的针对Web服务器发起的攻击？也算是拒绝服务了

platinum

原帖由 "西门飞" 发表：


概率太大了.
比如一家公司.
一个居民楼.
一个宿舍.
一个网吧.
甚至一个中学.

同一个网内同时有几个人一同上同一个论坛？
如果是一个普普通通的论坛，这种概率不高，如果是 CU、LINUXSIR 这样的，就不好说了。。。。
另外，connlimit 只是一个可控阀值，可以写一个 shell，当发现负载过大时才启用，平时不管，这样就可以保证绝大多数人的利益

chinayx

这里的问题在于：
1，同一个网内确实有N个人上同一个论坛。因为论坛面向的对象是学生，而学校确实为同一个公网IP
2，connlimit启用后，iowait会马上增高到90%左右，apache的cpu占用率也非常高，大概除非有个前端，否则使用conn也没太大帮助。
3，关于连接数，当并发连接数控制到5的时候，论坛中的表情等图片大部分会无法显示。

chinayx

哪位老大想想办法？

xiyang

不要使用conntrack机制
默认有很多问题
可以考虑更改其机制
connlimit是基于conntrack的

platinum

connlimit启用后，iowait会马上增高到90%左右
应该是 system 吧，iowait 高就不对了

chinayx

呃，部分原因是这台服务器的磁盘系统不行。
但是把限制放到web server这一层，我认为效率太低了。
如何能在之前就阻挡掉大部分呢？

chinayx

呃。。。这个问题有人继续关注吗？