如何限制香港高防服务器上单个IP的连接数?

去年下半年，我手头一个做跨境电商独立站的客户，突然半夜打来电话，声音都在抖。他说网站打不开了，后台看着CPU飙到100%，带宽也被吃满了。

我第一时间登录服务器看了一眼，心里立刻有数了。不是什么大流量的DDoS攻击，甚至没有把高防的阈值打满。问题出在哪?出在连接数上。

当时我用 netstat 命令扫了一下，好家伙，有几个来自东南亚的IP，每一个都和服务器建立了上百个TCP连接，全卡在 ESTABLISHED 状态。这显然不是什么正常的用户行为，要么是在恶意爬取商品库存，要么就是在用低频CC攻击的方式，一点一点把你的服务器资源耗死。

这种攻击最恶心的地方在于，它单看每个IP的流量都不大，可能也就几百K每秒，你高防机房的流量清洗阈值根本不会被触发。但它就像一群白蚁，单个不起眼，架不住数量多，成千上万个“合理”的连接把你的并发处理能力榨得干干净净。

那天的处理其实很简单，我直接用iptables加了三条规则，限制了单个IP的并发连接数，前后不到两分钟。然后那个攻击者就像撞上了一堵透明的墙，连接数死活上不去，攻击力度瞬间瓦解，网站恢复如常。

这件事让我更加确信一个道理：在香港高防服务器的运维里，限制单个IP的连接数，是性价比最高、见效最快的一道防线。今天咱们就来把这件事彻底讲透。

一、为什么香港服务器尤其需要“锁”连接数?

你得先理解香港服务器在网络环境里的特殊性。

和内地的服务器不同，香港主打的是国际带宽，而且通常是混合BGP线路。这就意味着，你的服务器是对整个全球互联网开放的。好处是全世界用户访问都快，坏处是，全世界的“苍蝇”也都能飞进来。

再加上香港服务器普遍“小带宽、高防御”的特点，它不像欧美机房那种动不动给个1G口，很多香港高防服务器的独享带宽可能就几十兆。这几十兆带宽用来跑正常业务，绰绰有余，但要是被恶意连接占满，哪怕只有一个IP开了两千个线程在那挂着，你的带宽就废了。

所以，限制单IP连接数，本质上是在做一件“公平分配”的事。我不拦着你正常访问，但你也别想一个人把整桌菜都扒拉到自己碗里。这是在源头上杜绝资源滥用。

二、先搞清楚你要防的是什么

在动手配置之前，我们得区分清楚一个概念，不然容易误伤正常用户。

限制连接数，主要针对的是三类行为：

第一种是CC攻击，攻击者控制大量“肉鸡”，每个肉鸡和你建立几十个甚至上百个连接，不停地刷新，消耗你的CPU和数据库连接池。

第二种是恶意爬虫，比如电商网站的商品价格、库存接口，被竞争对手的程序疯狂轮询，每个爬虫脚本都会建立大量短连接，导致TIME_WAIT爆满。

第三种就是程序Bug，你的App或者网站代码有漏洞，比如没有及时释放连接池，导致客户端不断发起新连接而不关闭。这种情况虽然是无意的，但同样会拖垮服务器。

所以你看，不管是恶意的还是无意的，最终表现形式都是“单个来源IP占用了过多连接数”。我们接下来要做的，就是给这种异常行为套上缰绳。

三、实战：用Iptables给你的服务器装上“限流阀”

这是最直接、最底层的方法，适用于任何Linux系统的香港高防服务器。只要你SSH能连上服务器，就能做。

核心用到的模块是 iptables 的 connlimit 模块。这个模块专门用来限制单个IP的并发连接数。

第一步，先看看目前没有规则时的状态。

你可以故意模拟一下，或者就这么等着。正常情况下，服务器不会拒绝任何连接。

第二步，添加上最关键的规则。

假设你的网站跑在80端口(HTTP)和443端口(HTTPS)，我们分别对它们做限制。

通常来说，对于一个正常的网站访客，一个IP建立10个以内的并发连接就完全够用了。但为了把门槛放低一点，防止误伤一些通过局域网出口访问的大公司员工，我们可以把阈值设置得宽松一些，比如设定为50。

命令如下：

iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP

iptables -A INPUT -p tcp --dport 443 -m connlimit --connlimit-above 50 --connlimit-mask 32 -j DROP

我来逐字给你解释一下这条命令在做什么。

-A INPUT 表示在进入的链路上添加规则。

-p tcp --dport 80 意思是只针对80端口的TCP流量。

-m connlimit 是调用连接数限制模块。

--connlimit-above 50 意思是“如果超过50个连接”。

--connlimit-mask 32 这个参数比较关键，32表示精确匹配单个IP。如果不加这个参数，它可能会把整个网段都算进去。

-j DROP 则是直接丢弃来自这个IP的新连接请求，注意是“丢弃”，不是“拒绝”。丢弃会让对方觉得网络超时，而不是立刻收到拒绝信息，这样可以消耗攻击者本地的资源，让他一直等到超时为止。

这样一来，不管你是普通用户还是攻击者，一个IP最多只能和服务器保持50个并发连接。再多一个，不好意思，数据包直接石沉大海。

第三步，处理特殊情况。

有些场景，比如你的网站使用了大量的AJAX长轮询，或者你跑的是一个WebSocket应用，50个连接可能真的不够用。这时候你当然可以把数字调大，比如调成100或者200。但记住一个原则，只要调整到业务能跑通就行了，不要无限制地放大。

另外，如果你是做API接口服务的，并且明确知道哪些IP是你的合法后端服务器，一定要先放行它们。规则要加在拒绝规则的前面：

iptables -I INPUT 1 -p tcp --dport 80 -s 你的信任IP地址 -j ACCEPT

这行意思是，第一条规则就放行信任IP，后面的限速规则就管不到它们了。

第四步，让规则永久生效。

刚才敲的命令，一旦重启服务器或者重启iptables服务就会消失。这是一个大坑，很多人配完了重启就忘了。

在CentOS或者多数Linux发行版中，你需要安装 iptables-persistent 或者用 service iptables save 命令把规则写入配置文件。

对于Ubuntu系统，可以用 sudo netfilter-persistent save 来保存。

四、进阶：不光要限数量，还要限频率

光是限制并发连接数，有时候还不够。因为有些攻击脚本很聪明，它不会一直占着连接不放，而是快速建立、请求、断开、再重建。这时候并发数也许不高，但每秒的请求次数(QPS)依然能把你的PHP或Java进程打死。

这种情况怎么处理?我们需要给香港高防服务器加上“频率限制”。

这就要用到另一个工具，叫 recent 模块，它相当于一个黑名单计时器。

思路是这样的：如果一个IP在60秒内新建了超过150个连接，我就把它扔进小黑屋关10分钟。

具体的命令组合稍微复杂一点，需要配合自定义链来做。但很多高防服务器的控制面板已经集成了这种功能，你可以去找找“CC防护设置”或者“频率限制”，里面通常有选项叫“单一IP请求频率”，直接填数值就行。

如果你习惯用Nginx，也可以利用 ngx_http_limit_req_module 模块，在网站的配置文件里加上：

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=100r/m;

这个意思是，每个IP每分钟只能发100个请求。超过的会排队，队排满了就直接返回503。

五、别光盯着软件，香港高防后台本身也有开关

写了这么多代码层面的东西，最后我想提醒你一句，别忘了你的高防服务器本身。

香港高防服务器之所以叫“高防”，就是因为机房前端有硬件防火墙。很多服务商的管理后台是直接提供“连接数阈值”设置的。

比如你登录控制面板，找到“防护配置”，里面可能直接有一个选项叫“单一IP最大并发连接数”，你只需要在框里填上数字(比如填100)，点一下保存，硬件防火墙就直接帮你执行了，连你自己进系统敲命令的功夫都省了。

而且硬件防火墙的效能更高，它拦截的位置在流量进入你服务器网卡之前，连那些恶意的握手包都到不了你的操作系统层面，服务器负载几乎是零。

所以一个好的策略是“双重保险”。在硬件防火墙设置一个相对宽松的阈值，比如200，用来拦住那些纯粹的恶意扫描。再在服务器操作系统里设置一个更严格的阈值，比如50，用来精准控制具体业务的连接行为。

六、总结与日常提醒

关于限制单IP连接数这件事，最后我想跟你唠几句实在话。

第一，阈值不是越小越好。以前我见过有新手直接设置成10个连接，结果公司里几百号人用一个公网IP出门，打开网页都加载不全图片，因为浏览器的并发请求把连接占满了。这是个技术活，要结合你的业务实际情况来调。通常建议从100这个数字开始往下测，测到有用户投诉打不开了，再往回调一点。

第二，要养成看日志的习惯。限制规则生效后，会有什么副作用?哪个IP被封得最多?这些IP是真的攻击者，还是某个偏远的运营商NAT节点?你可以通过 iptables 的日志功能，或者直接看 Nginx 的 error.log 里有没有大量 “connlimit dropped” 相关的记录，来分析是否需要调整白名单。

第三，不要指望一招鲜。限制连接数主要是用来防御应用层的资源耗尽，对于大流量的带宽攻击，它扛不住。那个还得靠你香港高防机房的带宽冗余和硬防清洗。这几层防护是各司其职的，谁也不能替代谁。

说到底，运维香港服务器就像开车，光有高防这层“气囊”不够，还得有主动安全配置。限制单个IP的连接数，就是你握在手里的那根安全带，不扎眼，却很管用。