我想要一个从文本数据文件中获取 IP 地址列表的 mod-security 规则,如果客户端 IP 与其中一个不匹配,则将请求速率限制为每分钟 200 个请求。
问问题
469 次
1 回答
1
不要为此使用 ModSecurity。它不擅长处理请求之间的持久变量——这对于任何类型的速率限制都是必需的。该功能是存在的,但是由于它使用基于磁盘的 SDBM 磁盘存储来实现此功能,因此在任何实际负载下都不起作用。请参阅有关 ModeSecurity 邮件线程的讨论,作为有关此主题的许多示例线程之一。
对我来说,在使用一些基于非磁盘的存储之前,这不会成为 ModSecurity 中的一个选项,所以最好密切关注这个错误,看看何时实现。
相反,请查看 fail2ban 或其他一些防火墙保护。
于 2017-03-23T15:18:54.353 回答