FRP服务端高CPU/网络占用问题分析与解决方案

问题现象

在使用FRP(v0.54.0)搭建内网穿透服务时，发现FRP服务端(frps)在没有客户端连接的情况下，CPU使用率持续高达40%，同时网络流量异常偏高。通过系统监控工具观察到，当停止frps服务后，CPU和网络使用率立即恢复正常水平。

问题定位

深入分析后发现，当frps配置中vhostHTTPSPort设置为标准HTTPS端口443时，会出现此问题。而将端口改为非标准端口(如444或44344)后，CPU使用率立即降至0%。这表明问题与443端口的特性有关。

通过抓包分析发现，公网上的443端口每秒会接收到约5次TCP连接尝试，每次连接约有8-9个数据包交换，总数据量约500字节。这些连接大多不是合法的FRP客户端连接，而是来自互联网的扫描或探测行为。

技术原理

FRP服务端在443端口上会接收到两种类型的连接：

1. 合法的FRP HTTPS隧道连接
2. 非法的扫描/探测连接

对于每个连接，frps都会尝试进行TLS握手。当接收到非TLS握手数据时，会产生错误日志："tls: first record does not look like a TLS handshake"。频繁的非法连接尝试导致了CPU和网络资源的高消耗。

解决方案

临时解决方案

1. 使用非标准HTTPS端口(如444等)，避免互联网扫描
2. 结合系统防火墙限制连接频率

长期建议

1. 在前端部署专业的WAF(Web应用防火墙)或反向代理(如Nginx)进行流量过滤
2. 使用fail2ban等工具基于日志分析自动封禁恶意IP
3. 等待FRP v2版本改进，该版本计划增强日志记录能力，包含客户端IP等信息

项目维护者说明

FRP维护团队表示：

1. 公网服务被扫描是正常现象
2. 防护功能更适合由专业WAF实现
3. v2版本将改进日志记录，包含客户端IP等信息

最佳实践建议

对于生产环境部署FRP服务：

1. 避免直接暴露标准端口(80/443)
2. 结合云服务商的安全组规则限制访问IP
3. 定期监控服务资源使用情况
4. 考虑在前端部署专业的防护设备

通过以上措施，可以有效降低FRP服务端的资源消耗，提高服务稳定性。