Rate Limiting begrenzt, wie viele Anfragen ein Client in einem Zeitfenster stellen kann. Sie wenden es auf mehrere Schichten an, da jede etwas anderes sieht, und Sie verschlüsseln es nach dem, was den Angreifer identifiziert.
Rate Limiting begrenzt, wie viele Anfragen ein Client in einem Zeitfenster stellen kann. Sie wenden es auf mehrere Schichten an, da jede etwas anderes sieht, und Sie verschlüsseln es nach dem, was den Angreifer identifiziert.
429 Too Many Requests mit Retry-After, damit Clients sich höflich zurückziehen, anstatt ständig zuzugreifen.# Define a shared-memory zone keyed by client IP.
# rate=10r/s = the steady refill rate (token bucket).
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
location /api/ {
# burst=20: allow a short spike of 20 queued requests
# nodelay: serve the burst immediately instead of spacing it out
limit_req zone=api burst=20 nodelay;
# Return 429 (not the default 503) so clients see a rate-limit signal
limit_req_status 429;
proxy_pass http://backend;
}
}
Hier wird jede IP mit 10 Anfragen/Sekunde aufgefüllt, darf bis zu 20 bursten, und alles darüber bekommt 429.
Rate Limiting ist Ihre billigste, immer aktive Verteidigung gegen Layer-7-Floods, Credential Stuffing und ausufernde Scraper. Die Schichtung (Edge für Volumen, Proxy für den Origin, App für Geschäftslogik) und die richtige Verschlüsselung stoppen Angreifer, während echte Benutzer — und legitime Bursts — unberührt durchkommen. Die Festlegung von Limits aus echten Baselines ist das, was verhindert, dass es zu einem Ausfall Ihrer eigenen Herstellung wird.
Eine Sammlung von IT-Interviewfragen mit ausführlichen Antworten — vom Junior bis zum Senior.
Spenden