Как я могу реализовать ограничение скорости на стороне сервера для веб-службы Perl?

Question

У меня есть веб-сервис CGI/Fast CGI на основе Perl и вы хотите ограничить количество клиентов по IP-адресу, чтобы остановить агрессивных клиентов, вызывая слишком много работы.

Я искал код и нашел Algorithm::TokenBucket в CPAN, но это касается запросов клиентов; он не имеет настойчивости и не имеет конфигурации для каждого пользователя, поэтому он не очень полезен для ограничения скорости на стороне сервера.

Я ищу предложения для чего-то, что уже существует, в противном случае мне нужно будет свернуть свое собственное, основываясь на некоторой простой настойчивости, такой как привязка к DB_File для IP-адреса и некоторое пакетное задание, которое выполняет управление маркерами.

Answer 1

Я использовал Cache::FastMmap для ограничения скорости путем отслеживания ударов по IP-адресу. Это кеш, поэтому данные истекают с течением времени, но если вы установите правильный размер и срок действия, это не должно быть проблемой.

IP-адрес - это хеш-ключ, а хэш-значение - это массив временных меток. У меня есть вторая структура данных (также поддерживается Cache::FastMMap), которая является хешем запрещенных IP-адресов, обновленных в соответствии с данными из первой структуры.

Answer 2

Я знаю, что это не то, о чем вы просили, но считаете ли вы, что вы занимаетесь этим в другом месте в стеке, где это уже сделано для вас? Ясно, что я не знаю ваш стек развертывания, но если это apache, вы можете использовать mod_evasive. Если вы в Linux, вы можете позволить iptables выполнять свою работу, используя что-то вроде:

#Allow only 12 connections per IP 
/sbin/iptables -A INPUT -p tcp --dport 80 -m conn-limit --connlimit-above 12 -j REJECT --reject-with tcp-reset 

возможно более сложные правила.