HAProxy - http_req_rate

Question

我读过关于HAProxy 博客帖子关于DDoS保护的文章。

在关于限制请求率的章节中，他们描述了一个将限制设置为100以获得每秒10次点击量的例子。

这个选择有什么原因吗？10的1s周期的限制不也是这样吗?或者有什么需要考虑的：

backend per_ip_rates
    stick-table type ip size 1m expire 10m store http_req_rate(1s)

使用

http-request deny deny_status 429 if { sc_http_req_rate(0) gt 10 }

Answer 1

自然浏览(即由一个人浏览)可以产生一连串的连接。例如，如果您加载一个网页，加上该页面上的图像，加上CSS，再加上一些JavaScript，您可以很快地在一秒钟内获得10个连接。

同样合理的是，一个人加载一个主页/登陆页面，然后在几秒钟内单击第二个页面。

然而，自然人不太可能在更长的时间内以持续的速度产生流量--他们不会无限地一页接一页地点击。

这种持续的流量(通常)将自动通信与与自然浏览相关的偶尔突发区别开来。

换句话说，平均时间越长，您就越确信超过“每秒连接”阈值的流量是自动化的结果。

然而，选择更长的周期并不是没有缺点的--更长的周期意味着对表的更高的内存需求和更慢的响应时间。选择是这些事情的平衡。

一旦选择了要平均的时间段，就需要保守地设置连接数，这样就不会捕获(即块)自然浏览。