Ограничение частоты запросов (rate limiting) ограничивает количество запросов, которые может сделать клиент в окне времени. Вы применяете его на нескольких уровнях, потому что каждый видит что-то своё, и вы ключируете его по тому, что идентифицирует злоумышленника.
429 Too Many Requests с Retry-After, чтобы клиенты вежливо отступили вместо того, чтобы молотить по запросам.# Define a shared-memory zone keyed by client IP.
# rate=10r/s = the steady refill rate (token bucket).
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
server {
location /api/ {
# burst=20: allow a short spike of 20 queued requests
# nodelay: serve the burst immediately instead of spacing it out
limit_req zone=api burst=20 nodelay;
# Return 429 (not the default 503) so clients see a rate-limit signal
limit_req_status 429;
proxy_pass http://backend;
}
}
Здесь каждый IP пополняется со скоростью 10 запросов/секунду, может выбросить до 20, и всё, что сверх этого, получает 429.
Ограничение частоты запросов — ваша самая дешёвая, всегда включённая защита от наводнений Layer 7, подбора учётных данных и вышедших из-под контроля скреперов. Наслоение его (edge для объёма, proxy для origin, app для бизнес-логики) и правильное ключирование останавливают злоумышленников, пока реальные пользователи — и легитимные всплески — проходят беспрепятственно. Установка лимитов на основе реальных базовых линий — вот что предотвращает то, чтобы это стало вашим собственным отключением.