web-dev-qa-db-ja.com

HTTP基本認証のブルートフォースをブロックする正しい方法は何ですか?

これが私の考えです、

1分間に30回などのしきい値を設定してから、このIPを数分間ブロックします。

ただし、攻撃者が送信元IPアドレスを偽造すると、正当なユーザーがすぐにブロックされる可能性があります。

そして、私は今混乱しています。

2
daisy

http基本認証を含むすべてのタイプのサービスでブルートフォースをブロックする一般的な方法は fail2ban です。ボットは完全なTCP接続(あなたの場合はHTTPリクエスト))の送信元IPアドレスを偽造することはできません。それについて心配する必要はありません( IPです)を参照してください。 「偽造するのは簡単」ですか?

4
Gryphius