Sem saber quantos dados seu ambiente veicula, esse filtro não deve apresentar problemas. Está a definir um limite rígido para as inicializações de TCP e para os sinalizadores de conclusão / reposição a 500Kb / s. Para atingir esse limite, você precisaria estar atendendo a vários milhões de novas solicitações TCP por segundo. Mesmo que alguns bons pacotes atingissem esse limite rígido, eles simplesmente cairiam e tentariam novamente em alguns segundos.
Isso também é (infelizmente) verdadeiro para pessoas que tentam fazer DoS seus servidores. Se um único host fosse capaz de iniciar vários milhares de conexões com um de seus servidores a cada segundo, você ainda teria problemas.
O que se deve notar sobre esses filtros é que é uma maneira muito bruta de limitar o tráfego; Em outras palavras, é limitado, mas eficiente . É bom garantir que nenhum tráfego desnecessário atravesse sua rede, mas as tecnologias de servidor web (por exemplo, mod_security
, mod_evasive
, etc.) sempre farão um trabalho mais inteligente de gerenciar sua carga de servidor e Descobrir o que deveria e não deveria estar lidando.
No exemplo acima, uma pessoa que tentasse repetir conexões nesses níveis seria bloqueada por um período de tempo predeterminado. O máximo que você perderá é uma quantidade marginal de largura de banda e processamento suficiente para fechar a conexão.