如何通过速率限制来阻止 Go 中的 DDoS 攻击
速率限制是缓解 DDoS 攻击的最有效技术之一。在其变体中,按 IP 速率限制 因其有针对性的方法而脱颖而出:它根据每个客户端的 IP 地址单独强制执行请求限制。这可以防止任何单个用户压垮服务器,同时为合法用户保持公平的访问级别。
在本文中,我们将介绍每个 IP 速率限制的工作原理、为什么它是阻止 DDoS 攻击的最佳策略之一,以及如何使用速率包在 Go 中实现它。
为什么要进行速率限制
速率限制被广泛使用,因为它平衡了安全性和可用性。这就是为什么它是首选方法:
- 高效的资源管理: 通过限制每个客户端的请求数量,即使在攻击期间,服务器也可以避免不堪重负。
- 公平性: 合法用户可以继续访问服务器,而恶意客户端则受到限制。
- 可定制: 可以根据使用案例调整速率限制,例如公共 API 与私有服务的不同限制。
- 可扩展性: 速率限制机制可以很好地适应现代基础设施,特别是与负载均衡器或反向代理结合使用时。
它与其他技术相比如何
- 防火墙规则: 根据预定义的规则在网络级别阻止流量。虽然对于大规模过滤有效,但它的灵活性较差,并且可能会在误报期间阻止合法用户。
- 内容交付网络 (CDN): 跨多个服务器分配流量。虽然 CDN 对于减少 DDoS 的影响很有帮助,但它并不能解决应用程序级别的滥用流量问题。
- 工作证明(PoW): 要求客户端在访问服务器之前解决计算难题。有效,但会增加合法用户的延迟,并且可能会占用客户端的资源。
- 速率限制: 提供细粒度的控制,可扩展性良好,并且不会增加大量开销。它通常是保护应用程序级端点的最佳选择。
实施
在每个 IP 速率限制中,为每个客户端 IP 维护一个单独的限制器。以下是如何使用 golang.org/x/time/rate 包来实现它。
第 1 步:安装所需的软件包
费率包是Go扩展模块的一部分。安装它:
狂欢
去获取 golang.org/x/time/rate
第 2 步:编写每个 IP 速率限制器
走
主包
导入(
`"fmt"` `"net/http"` `"sync"` `"time"` `"golang.org/x/time/rate"`
)
var (
`mu sync.Mutex` `visitors = make(map[string]*rate.Limiter)`
)
// getVisitor 检索给定 IP 的速率限制器,如果不存在则创建一个。
func getVisitor(ip string) *rate.Limiter {
`mu.Lock()` `defer mu.Unlock()` `limiter, exists := visitors[ip]` `if !exists {` `limiter = rate.NewLimiter(1, 5) // 1 request/second, burst of 5` `visitors[ip] = limiter` `// Clean up limiter after 1 minute of inactivity` `go func() {` `time.Sleep(1 * time.Minute)` `mu.Lock()` `delete(visitors, ip)` `mu.Unlock()` `}()` `}` `return limiter`
}
//rateLimitedHandler 应用每个 IP 的速率限制
funcrateLimitedHandler(w http.ResponseWriter, r *http.Request) {
`ip := r.RemoteAddr` `limiter := getVisitor(ip)` `if !limiter.Allow() {` `http.Error(w, "Too many requests. Please try again later.", http.StatusTooManyRequests)` `return` `}` `fmt.Fprintln(w, "Request successful.")`
}
func main() {
`http.HandleFunc("/", rateLimitedHandler)` `fmt.Println("Starting server on :8080")` `http.ListenAndServe(":8080", nil)`
}
说明
- 访客地图: 为每个 IP 地址维护一个速率限制器。访客地图包含这些限制器,由 IP 地址 (r.RemoteAddr) 键入。当请求传入时,getVisitor 函数会检查该 IP 是否已存在限制器。
- 限制器创建: 每个限制器允许每秒 1 个请求,突发容量为 5。如果不存在,则会使用特定规则(每秒 1 个请求,突发容量为 5)创建一个新的限制器。限制器允许一些初始突发请求,但此后强制执行稳定的速率。
- 自动清理: Goroutine 在 1 分钟后清理空闲限制器以节省内存。为了防止内存增长,代码包含一个清理机制。每当创建新的限制器时,就会启动 goroutine,并等待 1 分钟的不活动状态,然后从访问者映射中删除相应的条目。这确保了限制器只保留给活跃的客户端。
- 速率限制逻辑: 处理程序检查限制器是否允许该请求。 如果请求超出定义的限制,则会返回 429 Too Many Requests 错误;否则,它会处理该请求。
Go 中的每 IP 速率限制是在应用程序级别减轻 DDoS 攻击的绝佳方法。它提供对流量的精确控制,确保合法用户可以访问您的服务,同时有效限制恶意用户。
这种方法可以有效地限制滥用 IP,而不影响合法用户,为缓解 DDoS 攻击提供可扩展且高效内存的解决方案。
以上是如何通过速率限制来阻止 Go 中的 DDoS 攻击的详细内容。更多信息请关注PHP中文网其他相关文章!

热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

记事本++7.3.1
好用且免费的代码编辑器

SublimeText3汉化版
中文版,非常好用

禅工作室 13.0.1
功能强大的PHP集成开发环境

Dreamweaver CS6
视觉化网页开发工具

SublimeText3 Mac版
神级代码编辑软件(SublimeText3)

OpenSSL,作为广泛应用于安全通信的开源库,提供了加密算法、密钥和证书管理等功能。然而,其历史版本中存在一些已知安全漏洞,其中一些危害极大。本文将重点介绍Debian系统中OpenSSL的常见漏洞及应对措施。DebianOpenSSL已知漏洞:OpenSSL曾出现过多个严重漏洞,例如:心脏出血漏洞(CVE-2014-0160):该漏洞影响OpenSSL1.0.1至1.0.1f以及1.0.2至1.0.2beta版本。攻击者可利用此漏洞未经授权读取服务器上的敏感信息,包括加密密钥等。

在BeegoORM框架下,如何指定模型关联的数据库?许多Beego项目需要同时操作多个数据库。当使用Beego...

后端学习路径:从前端转型到后端的探索之旅作为一名从前端开发转型的后端初学者,你已经有了nodejs的基础,...

GoLand中自定义结构体标签不显示怎么办?在使用GoLand进行Go语言开发时,很多开发者会遇到自定义结构体标签在�...

Go语言中用于浮点数运算的库介绍在Go语言(也称为Golang)中,进行浮点数的加减乘除运算时,如何确保精度是�...

Go爬虫Colly中的Queue线程问题探讨在使用Go语言的Colly爬虫库时,开发者常常会遇到关于线程和请求队列的问题。�...

本文介绍如何在Debian系统上配置MongoDB实现自动扩容,主要步骤包括MongoDB副本集的设置和磁盘空间监控。一、MongoDB安装首先,确保已在Debian系统上安装MongoDB。使用以下命令安装:sudoaptupdatesudoaptinstall-ymongodb-org二、配置MongoDB副本集MongoDB副本集确保高可用性和数据冗余,是实现自动扩容的基础。启动MongoDB服务:sudosystemctlstartmongodsudosys

Go语言中使用RedisStream实现消息队列时类型转换问题在使用Go语言与Redis...
