DoS 与您提到的其他问题不同。

对于 MiTM，零是唯一可接受的成功攻击次数。零是唯一可接受的成功 SQL 注入次数。零是唯一可接受的暴力破解密码数量 - 为什么还要让自己遭受密码暴力破解，完全禁止密码并将 IP 列入白名单。

使用 DoS ......如果您是支持商业客户的基础设施，那么，当然，瞬时请求丢失会直接花费金钱。这是一个可以关心的指标。

如果服务是尽力而为，则可能存在您可以忽略的“成功” DoS 级别。风险的可接受程度有一个等级。

为了有一些保险，您可以在网络级别应用 per-IP 速率限制，例如https://making.pusher.com/per-ip-rate-limiting-with-iptables/，您可以应用 per-IP rate nginx 中应用程序级别的限制，例如https://www.nginx.com/blog/rate-limiting-nginx/或 Wordpress 的任何速率限制插件。

但是因为它是无定形的，所以将关注点提炼成一个指标，准确地表达关心和不关心你之间的区别。此测量可能只是来自 Web ping 服务的报告，可为您提供可用性分数。

没有理由相信DDoS不会发生，只有DoS会发生。一个攻击者，拥有一个僵尸网络就足够了。或者像 Shodan 这样的搜索引擎将帮助一个愤怒的攻击者破坏远程机器以启动 DDoS。

如果您对此不清楚，请谷歌“使用Memcached服务器的 DDoS”。您可能会在 Github 等网站上阅读几周前发生的大规模 DDoS 攻击。

来到解决方案：

• 正如已经建议的那样，必须对每个 IP 施加限制。例如，如果您在短时间内执行大量 Google 搜索，Google 将要求解决 ReCaptcha 挑战。

• 我不确定 Cloudflare DDoS 保护的工作原理。但我经常看到它在 5 秒后重定向到站点。可以通过终止发送任意大量数据的连接来防止 DDoS。[就像 Memcached 服务器的情况一样]。

• 使用所有可用工具评估您的保护措施。至少使用 OWASP ZAP、w3af 等开源工具，有时非分布式的简单 DoS 脚本hulk.py（例如 Sourceforge 上也有修改版）可能能够破坏综合安全措施。

但是，我认为虽然设置每个 IP 的限制是不可避免的，以避免脚本小子等，但它本身并不能提供足够的保护，因为 IP 地址欺骗不是一个很大的工作，而且 DDoS 的可能性也不容忽视。

首先，user9600383 是对的：DDoS 便宜且易于执行，打折是错误的。

通过网络级攻击，我假设您的意思是第 3 层或更低层的攻击，而不是直接针对您的站点/应用程序的攻击。

如果它来自不饱和网络路径的单个 IP 地址，则可以设置Fail2Ban和速率限制。Fail2Ban 将处理协议滥用（如过多的 SSL 尝试，这会浪费带宽和 CPU），并且速率限制将减少原始 IP 流量。

但是，如果攻击者能够使您的网络连接饱和，您将面临更大的问题。提供可靠服务的唯一方法是让您的网络提供商阻止数据包。

对此没有标准解决方案，您必须与您的网络提供商合作，以确定自动化解决方案是否可行。根据我的经验，答案通常是“不”，但也许这些天他们提供了更好的支持。自从我直接与他们合作以来已经有几年了。

对于一个称职的 DoS/DDoS 攻击者来说，大多数网站都是容易攻击的目标。典型的 Web 主机无法在网络级别做出有意义的响应，这为他们提供了一种非常简单且可靠的攻击方法。

CloudFlare 的存在是因为它们可以自动检测攻击并执行单个服务器管理员无法使用的对策。他们的面包和黄油是你根本无法复制的东西。

我建议将 Fail2Ban 和/或速率限制作为您最好的独立解决方案，但它们对于任何半途而废的攻击者都是不够的。