因此,您可以尝试使防火墙的行为限制特定类型的活动,例如将 TCP/IP 数据包发送到一定数量的 IP 地址的能力。这可能意味着编写一个超出我在 Linux 网络堆栈中的经验的守护程序或 BPF 脚本来监控客户端的数量。
但是:客户数量是多少?
IP地址?你的意思是IPv4还是IPv6?每个人都可以为自己选择任意数量的 IP 地址,事实上,许多系统服务依赖于临时或自动配置或默认地址。这既不是一个很好的保护(我可以窃取当前拥有“许可”的人的 IP 地址),也不能从表面上防止拒绝服务(2 行 shell 代码在我的界面上给了我 10000 个 IP 地址,很好晚上,邻居!)。
以太网 MAC 地址?与IP相同的问题,可以任意选择,尤其是在移动设备/无线访问的环境中,这些通常是随机的
以太网不是这样工作的。以太网中没有“连接”;这是一个更高两层的概念。
因此,您可以尝试使防火墙的行为限制特定类型的活动,例如将 TCP/IP 数据包发送到一定数量的 IP 地址的能力。这可能意味着编写一个超出我在 Linux 网络堆栈中的经验的守护程序或 BPF 脚本来监控客户端的数量。
但是:客户数量是多少?
老实说,这听起来像是您试图在网络的更深层解决的应用程序级问题。但是网络的更深层从来都不是用于访问控制的。干脆不要。无论您的客户访问的服务是什么,都要使其具有身份验证和会话的概念——如果最大会话数用尽,则简单地拒绝。