我想使用某种形式的速率限制,既限制 1) 新 TCP 连接,也限制 2) 现有 HTTP(S) 连接上的请求。我可能会使用 nginx 或 HAProxy 处理 #2(因为我在那里有更多关于用户历史记录的信息)。
但是,我想使用 IPtables 来防止 DoS(而不是 DDoS),并减轻 HAProxy 或 Nginx 处理新 TCP 连接的负担。看来 IPTables 最适合这项工作。
# Allow unlimited 80 traffic from our own network (duplicate this line for other local subnets)
# 192.168.16.0 - 192.168.16.255
-A INPUT -p tcp --dport 80 -s 192.168.1.0/24 -j ACCEPT
# Simple, single-IP DoS protection
# Per-minute: Allow up to 200 new connections (packets) from an IP before rate-limiting to 50 packets is applied
# This could need to be an ISP, company, or college where 200 clients all connected from a single IP gateway
# in 1 minute and started using your service. After that first minute 50 more can join every minute.
-A INPUT -p tcp --dport 80 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
-A INPUT -p tcp --dport 443 -m state --state NEW -m limit --limit 50/minute --limit-burst 200 -j ACCEPT
这是个好主意吗,或者我应该在 nginx 或 HAproxy 级别执行两种类型的速率限制(新的/已建立)?
(注意:我无法访问专门用于处理此问题的实际硬件防火墙)
答案1
我个人会使用 iptables 仅对特定 TCP 数据包(syn flood、各种类型的扫描等)进行速率限制,并使用 nginx 进行速率限制每个时间间隔的 HTTP 请求数这背后。
请记住,浏览器会为单个实际用户打开多个 TCP 连接,因此一旦达到突发量,速率限制为每分钟 50 个连接戏剧性地低,可能会给代理后面的人带来麻烦。
此外,如果您在 iptables 规则中仅过滤 NEW 状态,则没有任何证据表明建立 TCP 连接的远程客户端会发送请求。这意味着任何有权访问不遵守入口/出口过滤最佳实践的基础设施的人都可以使用伪造的 IP 对您的服务进行 SYN 泛洪,从而降低特定目标(例如知名公司的移动电话 AP)的服务质量。