https://ops.freeedge.uk/tags/dos/ Recent content in DoS on Ops FreeEdge Hugo en-us Sat, 04 Apr 2026 02:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-rate-limiting/ Sat, 04 Apr 2026 02:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-rate-limiting/ <h1 id="tailscale-速率限制dos-防护机制与连接限制深度解析">Tailscale 速率限制：DoS 防护机制与连接限制深度解析</h1> <h2 id="引言">引言</h2> <p>Tailscale 作为一款基于 WireGuard 的零信任网络工具，在提供便捷、安全的点对点连接的同时，也内置了多种机制来防范拒绝服务（DoS）攻击和滥用资源。这些机制包括内置速率限制、DERP（Designated Encrypted Relay for Packets）中继层的防护、每设备和尾网（tailnet）的连接限制、ACL（访问控制列表）策略的间接限流，以及针对暴力破解攻击的缓解措施。本文将深入剖析这些机制，并提供实际配置示例，帮助管理员优化 Tailscale 部署的安全性和性能。</p> <p>Tailscale 的设计哲学强调“最小权限”和“零信任”，其速率限制并非简单地基于流量阈值，而是结合控制平面、数据平面和中继层的多层防护，确保网络稳定性和公平性。根据官方文档和源代码分析，Tailscale 在免费计划下有明确的设备/用户限制，企业版则支持更高规模。</p> <h2 id="tailscale-内置速率限制机制">Tailscale 内置速率限制机制</h2> <p>Tailscale 客户端（tailscaled）和控制服务器内置了多种速率限制，以防止资源耗尽：</p> <ul> <li><strong>控制平面限流</strong>：登录和认证请求受限于协调服务器（controlplane.tailscale.com）。源代码显示，使用 token bucket 算法限制 API 调用频率，避免 DDoS。</li> <li><strong>节点注册限流</strong>：新节点加入 tailnet 时，有注册间隔（默认 1 分钟），防止突发注册洪水。</li> <li><strong>策略分发限流</strong>：tailnet 策略文件大小限制为 1MB，规则数不超过 1000 条，防止策略膨胀导致内存耗尽。</li> </ul> <table> <thead> <tr> <th>机制</th> <th>限制描述</th> <th>默认阈值</th> </tr> </thead> <tbody> <tr> <td>API 请求</td> <td>每 IP/用户每分钟请求数</td> <td>100 req/min</td> </tr> <tr> <td>节点注册</td> <td>每 tailnet 新节点间隔</td> <td>60s</td> </tr> <tr> <td>策略大小</td> <td>tailnet policy 文件</td> <td>1MB / 1000 规则</td> </tr> </tbody> </table> <p>这些内置机制确保即使在高负载下，Tailscale 也能维持稳定性。</p> <h2 id="derp-中继层的-dos-防护">DERP 中继层的 DoS 防护</h2> <p>DERP 是 Tailscale 的中继服务器，当直接 P2P 连接失败时使用。它是 DoS 防护的核心层。</p>