| |||
|
|
> "не более n коннектов с одного и того же адреса" Я посмотрел (по диагонали, если честно). По-моему, все таки нету. Количество запросов в секунду вообще ограничить можно, но это не то, что нужно: DDoS'овские запросы не оставят почти никаких шансов нормальным запросам. Надо ограничивать именно повторяющиеся запросы с одних и тех же адресов. Но при этом понимать, что таких адресов может быть много, десятки тысяч. Да и где бы нетфильтру хранить history последних запросов? Без такого хранилища очевидно эту фичу не реализуешь. Не в conntrack'е же - он предназначен немного для других целей и вряд ли будет себя вести хорошо, если его забить десятками тысяч плохих адресов. В апаче же ограничивать число коннектов несколько поздно: пока коннект дойдет до апача, он уже успеет скушать слишком много ресурсов. Добавить комментарий: |
|||