连接耗尽治理：TIME_WAIT频控策略

连接耗尽治理：TIME_WAIT、FD 与队列参数调优 爬虫识别

围绕“连接耗尽治理：TIME_WAIT频控策略”，本文从业务风险、架构要点、落地流程与验收指标四个维度拆解，帮助你快速形成可执行的防护方案。

核心能力与落地要点

• 标题模板多样化：问答式、清单式、对比式的组合：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。
• 限流效果验收：拦截率、误杀率与转化影响的指标口径：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。
• UDP Flood 怎么防：带宽与包速双维度治理：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。
• WAF 与应用协同：命中透传与二次判定的设计要点：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。
• 应急预案怎么写：一键加严、切高防与只读模式清单：从识别、缓解到回溯三段式闭环，确保可观测、可回滚、可量化。

日志采样要有策略。对攻击洪峰流量可以采样与聚合统计，保留关键取证字段；对正常流量保留完整日志用于分析。目标是“既能取证又不把磁盘写爆”。

当站点规模较大时，重复不一定来自“素材不够”，而可能来自“同一类主题词过于集中”。更稳妥的做法是按场景拆分：接入层、应用层、数据层、运营侧、应急侧，各自都要有足够的条目，避免生成内容在同一维度反复打转。

当站点进入稳定期后，可以把策略强度从“固定阈值”升级为“指标驱动”。例如以登录成功率、下单成功率、P95 延迟作为主指标，当指标恶化时自动加严；指标恢复后自动放松，减少长期误伤。

监控口径要统一，否则“看起来没问题”可能只是指标口径不一致。建议至少统一：总请求、成功率、错误率、P95/P99、拦截率、误杀率，并明确采样与统计窗口。

部署与验收清单

• 应急预案：灰度开关、黑白名单与回滚策略提前演练。
• 链路分层：CDN/WAF/高防/源站分层部署，避免单点被打穿。
• 入口限速：Nginx/SLB 先限流，应用侧再做频控兜底。
• 持续优化：根据真实流量画像迭代规则，避免误伤与漏拦。

常见问题

Q：为什么仅靠单一防护组件不够？

A：真实攻击往往组合出现（洪峰、慢速、绕过、应用层混合），需要入口、协议、业务、数据多个层面的联动。

Q：如何避免“防护开得越狠越误伤”？

A：用指标驱动策略：先观测再收紧，优先做分层与限速，再逐步加入更细粒度规则。