速率限制是緩解 DDoS 攻擊的最有效技術(shù)之一。在其變體中，按 IP 速率限制 因其有針對(duì)性的方法而脫穎而出：它根據(jù)每個(gè)客戶端的 IP 地址單獨(dú)強(qiáng)制執(zhí)行請(qǐng)求限制。這可以防止任何單個(gè)用戶壓垮服務(wù)器，同時(shí)為合法用戶保持公平的訪問級(jí)別。

在本文中，我們將介紹每個(gè) IP 速率限制的工作原理、為什么它是阻止 DDoS 攻擊的最佳策略之一，以及如何使用速率包在 Go 中實(shí)現(xiàn)它。

為什么要進(jìn)行速率限制

速率限制被廣泛使用，因?yàn)樗胶饬税踩院涂捎眯浴＿@就是為什么它是首選方法：

1. 高效的資源管理： 通過限制每個(gè)客戶端的請(qǐng)求數(shù)量，即使在攻擊期間，服務(wù)器也可以避免不堪重負(fù)。
2. 公平性： 合法用戶可以繼續(xù)訪問服務(wù)器，而惡意客戶端則受到限制。
3. 可定制： 可以根據(jù)使用案例調(diào)整速率限制，例如公共 API 與私有服務(wù)的不同限制。
4. 可擴(kuò)展性： 速率限制機(jī)制可以很好地適應(yīng)現(xiàn)代基礎(chǔ)設(shè)施，特別是與負(fù)載均衡器或反向代理結(jié)合使用時(shí)。

它與其他技術(shù)相比如何

1. 防火墻規(guī)則： 根據(jù)預(yù)定義的規(guī)則在網(wǎng)絡(luò)級(jí)別阻止流量。雖然對(duì)于大規(guī)模過濾有效，但它的靈活性較差，并且可能會(huì)在誤報(bào)期間阻止合法用戶。
2. 內(nèi)容交付網(wǎng)絡(luò) (CDN)： 跨多個(gè)服務(wù)器分配流量。雖然 CDN 對(duì)于減少 DDoS 的影響很有幫助，但它并不能解決應(yīng)用程序級(jí)別的濫用流量問題。
3. 工作證明（PoW）： 要求客戶端在訪問服務(wù)器之前解決計(jì)算難題。有效，但會(huì)增加合法用戶的延遲，并且可能會(huì)占用客戶端的資源。
4. 速率限制： 提供細(xì)粒度的控制，可擴(kuò)展性良好，并且不會(huì)增加大量開銷。它通常是保護(hù)應(yīng)用程序級(jí)端點(diǎn)的最佳選擇。

實(shí)施

在每個(gè) IP 速率限制中，為每個(gè)客戶端 IP 維護(hù)一個(gè)單獨(dú)的限制器。以下是如何使用 golang.org/x/time/rate 包來實(shí)現(xiàn)它。

第 1 步：安裝所需的軟件包

費(fèi)率包是Go擴(kuò)展模塊的一部分。安裝它：

狂歡

去獲取 golang.org/x/time/rate

第 2 步：編寫每個(gè) IP 速率限制器

走

主包

導(dǎo)入（

`"fmt"`

`"net/http"`

`"sync"`

`"time"`

`"golang.org/x/time/rate"`

)

var (

`mu       sync.Mutex`

`visitors = make(map[string]*rate.Limiter)`

)

// getVisitor 檢索給定 IP 的速率限制器，如果不存在則創(chuàng)建一個(gè)。

func getVisitor(ip string) *rate.Limiter {

`mu.Lock()`

`defer mu.Unlock()`

`limiter, exists := visitors[ip]`

`if !exists {`

    `limiter = rate.NewLimiter(1, 5) // 1 request/second, burst of 5`

    `visitors[ip] = limiter`

    `// Clean up limiter after 1 minute of inactivity`

    `go func() {`

        `time.Sleep(1 * time.Minute)`

        `mu.Lock()`

        `delete(visitors, ip)`

        `mu.Unlock()`

    `}()`

`}`

`return limiter`

}

//rateLimitedHandler 應(yīng)用每個(gè) IP 的速率限制

funcrateLimitedHandler(w http.ResponseWriter, r *http.Request) {

`ip := r.RemoteAddr`

`limiter := getVisitor(ip)`

`if !limiter.Allow() {`

    `http.Error(w, "Too many requests. Please try again later.", http.StatusTooManyRequests)`

    `return`

`}`

`fmt.Fprintln(w, "Request successful.")`

}

func main() {

`http.HandleFunc("/", rateLimitedHandler)`

`fmt.Println("Starting server on :8080")`

`http.ListenAndServe(":8080", nil)`

}

說明

1. 訪客地圖： 為每個(gè) IP 地址維護(hù)一個(gè)速率限制器。訪客地圖包含這些限制器，由 IP 地址 (r.RemoteAddr) 鍵入。當(dāng)請(qǐng)求傳入時(shí)，getVisitor 函數(shù)會(huì)檢查該 IP 是否已存在限制器。
2. 限制器創(chuàng)建： 每個(gè)限制器允許每秒 1 個(gè)請(qǐng)求，突發(fā)容量為 5。如果不存在，則會(huì)使用特定規(guī)則（每秒 1 個(gè)請(qǐng)求，突發(fā)容量為 5）創(chuàng)建一個(gè)新的限制器。限制器允許一些初始突發(fā)請(qǐng)求，但此后強(qiáng)制執(zhí)行穩(wěn)定的速率。
3. 自動(dòng)清理： Goroutine 在 1 分鐘后清理空閑限制器以節(jié)省內(nèi)存。為了防止內(nèi)存增長，代碼包含一個(gè)清理機(jī)制。每當(dāng)創(chuàng)建新的限制器時(shí)，就會(huì)啟動(dòng) goroutine，并等待 1 分鐘的不活動(dòng)狀態(tài)，然后從訪問者映射中刪除相應(yīng)的條目。這確保了限制器只保留給活躍的客戶端。
4. 速率限制邏輯： 處理程序檢查限制器是否允許該請(qǐng)求。 如果請(qǐng)求超出定義的限制，則會(huì)返回 429 Too Many Requests 錯(cuò)誤；否則，它會(huì)處理該請(qǐng)求。

Go 中的每 IP 速率限制是在應(yīng)用程序級(jí)別減輕 DDoS 攻擊的絕佳方法。它提供對(duì)流量的精確控制，確保合法用戶可以訪問您的服務(wù)，同時(shí)有效限制惡意用戶。

這種方法可以有效地限制濫用 IP，而不影響合法用戶，為緩解 DDoS 攻擊提供可擴(kuò)展且高效內(nèi)存的解決方案。

以上是如何通過速率限制來阻止 Go 中的 DDoS 攻擊的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！