我有一个基于Perl的CGI /快速CGI Web服务,并且希望通过IP地址对客户端进行速率限制,以阻止攻击性客户端造成太多工作。
我查看了一些代码并在CPAN中找到了Algorithm::TokenBucket,但这是针对客户端请求的;它没有持久性,没有每用户配置,因此对服务器端速率限制没有用。
我正在寻找已经存在的东西的建议,否则我需要基于一些简单的持久性来推动我自己,例如绑定到每个IP地址的DB_File和一些执行令牌管理的批处理作业
答案 0 :(得分:5)
我通过跟踪每个IP地址的匹配数来使用Cache::FastMmap进行速率限制。这是一个缓存,因此数据会随着时间的推移而过期,但如果您设置了正确的大小和到期时间,这应该不是问题。
IP地址是散列键,散列值是时间戳数组。我有第二个数据结构(也由Cache::FastMMap支持),它是一个被禁止的IP地址的哈希,根据第一个结构的数据进行更新。
答案 1 :(得分:4)
我知道这不是你问的问题,但你有没有考虑过在堆栈的其他地方处理它已经为你完成了?显然我不知道你的部署堆栈,但如果它是apache你可以使用mod_evasive。或者,如果你在Linux上,你可以让iptables使用类似的东西来完成它的工作:
#Allow only 12 connections per IP
/sbin/iptables -A INPUT -p tcp --dport 80 -m conn-limit --connlimit-above 12 -j REJECT --reject-with tcp-reset
当然可能有更复杂的规则。