速率限制

Tailscale 速率限制：DoS 防护机制与连接限制深度解析 引言 Tailscale 作为一款基于 WireGuard 的零信任网络工具，在提供便捷、安全的点对点连接的同时，也内置了多种机制来防范拒绝服务（DoS）攻击和滥用资源。这些机制包括内置速率限制、DERP（Designated Encrypted Relay for Packets）中继层的防护、每设备和尾网（tailnet）的连接限制、ACL（访问控制列表）策略的间接限流，以及针对暴力破解攻击的缓解措施。本文将深入剖析这些机制，并提供实际配置示例，帮助管理员优化 Tailscale 部署的安全性和性能。 Tailscale 的设计哲学强调“最小权限”和“零信任”，其速率限制并非简单地基于流量阈值，而是结合控制平面、数据平面和中继层的多层防护，确保网络稳定性和公平性。根据官方文档和源代码分析，Tailscale 在免费计划下有明确的设备/用户限制，企业版则支持更高规模。 Tailscale 内置速率限制机制 Tailscale 客户端（tailscaled）和控制服务器内置了多种速率限制，以防止资源耗尽： 控制平面限流：登录和认证请求受限于协调服务器（controlplane.tailscale.com）。源代码显示，使用 token bucket 算法限制 API 调用频率，避免 DDoS。 节点注册限流：新节点加入 tailnet 时，有注册间隔（默认 1 分钟），防止突发注册洪水。 策略分发限流：tailnet 策略文件大小限制为 1MB，规则数不超过 1000 条，防止策略膨胀导致内存耗尽。 机制 限制描述 默认阈值 API 请求 每 IP/用户每分钟请求数 100 req/min 节点注册 每 tailnet 新节点间隔 60s 策略大小 tailnet policy 文件 1MB / 1000 规则 这些内置机制确保即使在高负载下，Tailscale 也能维持稳定性。 DERP 中继层的 DoS 防护 DERP 是 Tailscale 的中继服务器，当直接 P2P 连接失败时使用。它是 DoS 防护的核心层。 ...