RobustMQ

简体中文

English

简体中文

English

Appearance

MQTT 连接抖动检测

什么是连接抖动检测?

连接抖动检测是 RobustMQ 提供的一项安全功能,用于自动检测和封禁那些在短时间内频繁连接和断开的客户端。这种机制可以有效防止恶意客户端或配置错误的客户端过度占用服务器资源,确保其他客户端的正常使用。

何时使用连接抖动检测?

连接抖动检测在以下场景中特别有用:

  • 防止恶意攻击:阻止恶意客户端通过频繁连接来消耗服务器资源
  • 保护系统稳定性:避免配置错误的客户端影响系统性能
  • 资源管理:确保服务器资源能够公平分配给所有客户端
  • 安全防护:作为安全防护体系的一部分,提高系统安全性

连接抖动检测的特性

自动检测机制

RobustMQ 的连接抖动检测功能提供:

  • 智能监控:自动监控客户端的连接行为模式
  • 动态封禁:检测到异常行为时自动封禁客户端
  • 时间窗口控制:在指定时间窗口内统计连接次数
  • 灵活配置:支持自定义检测参数和封禁策略

关键特性

  • 客户端 ID 封禁:只封禁客户端 ID,不封禁用户名和 IP 地址
  • 临时封禁:封禁是临时的,到期后自动解除
  • 可配置参数:支持自定义检测时间窗口、最大断连次数和封禁时长
  • 实时生效:配置更改后立即生效

连接抖动检测配置

通过 RobustMQ Dashboard 配置

  1. 访问 RobustMQ Dashboard:http://117.72.92.117:8080/

  2. 导航到访问控制 -> 连接抖动

  3. 启用连接抖动检测功能

  4. 配置以下参数:

    • 检测时间窗口:系统监视客户端抖动行为的持续时间(默认:1 分钟)
    • 最大断连次数:在检测窗口时间内允许的最大断开连接次数(默认:15 次)
    • 封禁时长:客户端被封禁的时间长度(默认:5 分钟)

  5. 点击保存更改完成配置

通过配置文件配置

在 RobustMQ 配置文件中添加以下配置:

toml
[flapping_detect]
enable = true
# 客户端最大离线次数
max_count = 15
# 检测的时间范围
window_time = "1m"
# 封禁的时长
ban_time = "5m"

该配置表示当一个客户端在 1 分钟内累计断开连接次数达到 15 次时将被封禁 5 分钟。

连接抖动检测工作原理

检测流程

  1. 行为监控:系统持续监控所有客户端的连接和断开行为
  2. 统计计数:在配置的时间窗口内统计每个客户端的断开次数
  3. 阈值判断:当断开次数超过配置的最大值时,触发封禁机制
  4. 自动封禁:将异常客户端 ID 加入临时黑名单
  5. 自动解除:封禁时间到期后自动从黑名单中移除

封禁机制

  • 封禁范围:仅封禁客户端 ID,不影响用户名和 IP 地址
  • 封禁效果:被封禁的客户端无法建立新的连接
  • 绕过方式:客户端可以通过更换客户端 ID 来绕过封禁
  • 自动恢复:封禁时间到期后自动恢复连接权限

实际应用示例

场景 1:防止恶意攻击

bash
# 恶意客户端频繁连接
mqttx conn -i malicious_client -h '117.72.92.117' -p 1883
# 快速断开连接
# 重复上述操作多次

# 系统检测到异常行为,自动封禁该客户端 ID
# 客户端收到连接被拒绝的错误

场景 2:配置错误的客户端

bash
# 配置错误的客户端(如错误的认证信息)
mqttx conn -i bad_config_client -u wrong_user -P wrong_pass -h '117.72.92.117' -p 1883
# 连接失败,客户端重试
# 重复多次后触发抖动检测

# 系统封禁该客户端 ID,防止继续消耗资源

场景 3:正常客户端不受影响

bash
# 正常客户端连接
mqttx conn -i normal_client -h '117.72.92.117' -p 1883
# 正常使用,不会触发抖动检测
# 即使偶尔断开重连,也不会被误封

配置参数说明

检测时间窗口 (window_time)

  • 作用:定义系统监控客户端行为的时间范围
  • 默认值:1 分钟
  • 建议值:根据业务场景调整,通常设置为 1-5 分钟
  • 影响:时间窗口越长,检测越宽松;时间窗口越短,检测越严格

最大断连次数 (max_count)

  • 作用:在时间窗口内允许的最大断开连接次数
  • 默认值:15 次
  • 建议值:根据正常客户端的重连频率调整
  • 影响:数值越小,检测越严格;数值越大,检测越宽松

封禁时长 (ban_time)

  • 作用:客户端被封禁的时间长度
  • 默认值:5 分钟
  • 建议值:根据安全需求调整,通常设置为 5-30 分钟
  • 影响:封禁时间越长,安全防护越强,但可能影响正常客户端的快速恢复

监控和管理

通过 Dashboard 监控

  1. 访问 RobustMQ Dashboard
  2. 查看访问控制 -> 连接抖动页面
  3. 监控以下信息:
    • 当前封禁的客户端列表
    • 封禁原因和剩余时间
    • 检测统计信息

日志监控

连接抖动检测的相关日志会记录在系统日志中,包括:

  • 客户端被封禁的事件
  • 封禁解除的事件
  • 检测统计信息

注意事项

  • 客户端 ID 唯一性:确保每个客户端使用唯一的客户端 ID
  • 合理配置参数:根据实际业务场景调整检测参数
  • 监控系统状态:定期检查封禁列表和系统日志
  • 测试环境验证:在生产环境部署前,先在测试环境验证配置
  • 备份配置:保存配置文件备份,便于快速恢复