Дудосят вебсокет. Скорость нормального пользователя 0.5-5kb/s, полился трафик по 10mb/s с кучи разных IP. Через tc получилось ограничить только общую скорость всего трафика. Можно как-то ограничить входящую скорость на каждое соединение, чтобы каждый коннект (не ip, а именно коннект) мог отправлять на сервер не больше 5kb/s?
Сергей Соколов, к сожалению не вариант, иногда у нормальных клиентов могут быть периодические превышения, ограничить им скорость не пострадают, а отрубать нельзя.
Можно попробовать через модуль hashlimit с hashlimit-mode=srcip,srcport. Этот параметр поможет выполнить условие лимит на коннект.
Но, мне кажется, что правильней держать черные и белые списки на ipset.
По IP нельзя блочить, атака с зараженных троянами компов по всей видимости идет, светятся IP кучи провайдеров которые динамические IP раздают или держат толпу на одном IP. Тут в идеале нужно именно скорость на коннект ограничить. hashlimit вроде не то.