Java Google应用程序引擎和dos.xml

我的理解是，真正缓解DDoS攻击的唯一方法是自动化将IP地址/范围列入黑名单的过程

Google App Engine（GAE）允许您在任何给定时间配置和上传

dos.xml

文件，并将IP地址/范围指定给黑名单

显然，如果我的web应用受到精心策划的DDoS攻击，攻击我的IP地址/范围将不断变化

GAE允许我多久更新一次

dos.xml

？这些更改需要多长时间才能生效？我这样问是因为我正在设计一个

AutoBlacklister

系统，它可以检查它认为是攻击者的IP地址，并动态更新

dos.xml

。如果有超过100名攻击者（GAE将您限制在100个地址/范围内），那么列表中只会列出前100名“最严重的攻击者”

但是，如果

dos.xml

只能以一定的周期（如每天一次等）进行更新，并且需要很长时间（超过几分钟！）才能生效，那么该系统对于真正的DDoS几乎毫无用处

---

另外，这个问题假设有一种方法可以自动上传

dos.xml

：有吗？我可以想象有一个安全的URL，我可以用类似于

HttpClient

的东西将文件上传到其中，但是使用GAE，你永远不知道你将面临什么条款/限制！提前谢谢

您可以通过更新

dos.xml

。可以在不完全重新部署服务器的情况下更新此文件，这是一个昂贵的过程。据我所知，此更新的执行频率没有限制

完全部署有一个限制，如下所述：

开发人员上载应用程序的次数。 目前的配额是每天1000人

---

将IPs列入黑名单不是100%防DDoS的缓解技术，因为：

A.）僵尸网络DDoS将使用合法IP（即特洛伊木马僵尸网络），在这种情况下，IP阻塞也将阻止合法用户的访问

B.）这对网络DDoS攻击（即SYN Flood）毫无作用—一种使用欺骗IP的攻击，甚至不需要建立完整的双向连接即可使DDoS正常工作。（要停止此操作，您需要安装某种前门反向代理，以防止在建立完整的2-连接-->接收确认之前进行访问。）

---

要实现全面的DDoS防护，您需要有足够大的“管道”，要么投资硬件（过于膨胀，因此通常不划算），要么投资前端代理解决方案，在平衡额外流量的同时让您保持全面运营（即云代理）

不完全相关，但只是为了避免以后的一些故障排除，声明它是

dos.xml

，而不是

ddos.xml

。感谢您指出（+1）-OP现在已更新。FWIW，新发布的支持通过（REST）编程更新防火墙规则管理员API：谷歌是否会处理这些问题，以防止请求首先进入应用程序？不是100%确定。我知道他们允许更新，但不熟悉其内部预防政策。我想自己了解更多。