[Gfoss] Come limitare le richieste ai servizi wms
Niccolo Rigacci
niccolo a rigacci.org
Ven 8 Feb 2019 10:26:13 CET
On Thu, Feb 07, 2019 at 06:53:38PM +0100, Andrea Peri wrote:
>
> Parlo di richiesta a distanza di qualche millesimo di secondo .
> Tutte dai medesimi indirizzi (piu' di uno).
Lo stesso problema capita anche ai normali server web, cioè il
problema è indipendente da chi riceve la richiesta HTTP (Apache,
Nginx, ecc.) e da chi produce l'output (inteprete PHP, MapServer,
ecc.).
Per questo motivo cercherei una soluzione indipendente dallo
stack software che hai in questa specifica situazione. Cercherei
quindi una soluzione a livello TCP/IP. Se il server fosse una
macchina GNU/Linux ci sono semplici ricette iptables (il firewall
del kernel linux) che limitano il numero di pacchetti accettati
da una singola sorgente.
Come parola chiave cerca "iptables hashlimit".
Giusto per fare un esempio questa è una regola che uso per
limitare attacchi DDoS su server DNS (porta 53 UDP):
iptables -I INPUT -p udp --dport 53 -m hashlimit \
--hashlimit-name DNS --hashlimit-above "2/second" \
--hashlimit-burst "25" --hashlimit-htable-expire "60000" \
--hashlimit-mode srcip --hashlimit-srcmask 32 -j DROP
--
Niccolo Rigacci - http://www.rigacci.net/
Campi Bisenzio - Firenze - Italy
Tel. Mobile: +39-327-5619352
Maggiori informazioni sulla lista
Gfoss