Недавно мой сервер получил атаку син-флуд. Я использую ограничение Hitcount, но мне интересно, что максимальная ставка законного трафика синхронизации для одного IP-адреса пользователя. Я использую правило на основе IP-адреса источника - blow;
iptables -A INPUT -p tcp --syn -m recent --update --seconds 15 --hitcount 20 --name SYNF -j DROP
Он падает больше, чем скорость 20 пакетов / 15 секунд.
Также мне интересно, какова корреляция между скоростью соединения / времени и веб-контентом или поведением браузера.
Ответ очень субъективен. Это зависит от того, что вы считаете законным.
Сравните очень бездействующий веб-сервер с очень успешным веб-сайтом, и у вас будет другой допуск к пределу скорости.
Это зависит от того, хотите вы консервативно или агрессивно разрывать соединения.
Сначала начните с сбора «нормального использования» (с такими инструментами, как cacti, munin, mrtg, collectd, ...), затем вы сможете установить лимит на 10-20% выше нормального порога. Потому что иначе вы не узнаете, что такое нормальная ситуация и приступ (пока не станет слишком поздно).
Я бы сказал, что предел должен быть низким, если у вас нет сервера с высоким трафиком, и в конечном итоге немного выше на высокопроизводительных серверах.