什么是正确的方式来阻止HTTP基本身份validation的暴力?

这是我的想法,

在一分钟内设置一个阈值30次,然后阻止这个IP几分钟。

但是如果攻击者伪造源IP地址,这可能会立即阻止合法用户。

而我现在很困惑。

阻止所有types的服务,包括HTTP基本身份validation的通用方法是fail2ban 。 机器人不能伪造一个完整的TCP连接的源IP地址(在你的情况下,一个HTTP请求),你不必担心。 (请参阅IP地址是否“微不足道”)?