速率限制是一種簡(jiǎn)單但非常有效的技術(shù)�����,用于保護(hù)API免遭無(wú)意和惡意的過(guò)度使用�����。如果沒(méi)有速率限制�����,任何人都可以用請(qǐng)求轟炸服務(wù)器并導(dǎo)致吞噬資源的流量高峰,“餓死”其他用戶,并使服務(wù)無(wú)響應(yīng)�����。本文介紹了速率限制以及限制到達(dá) API 和服務(wù)的請(qǐng)求數(shù)量的重要性�����。我們解釋什么是速率限制及其工作原理,并介紹可用于為您的用例采用速率限制的不同類(lèi)型的算法。
什么是速率限制�����?
速率限制是限制用戶可以對(duì)特定 API 或服務(wù)發(fā)出的請(qǐng)求數(shù)量的做法�����。您可以限制用戶在特定時(shí)間范圍內(nèi)重復(fù)執(zhí)行某項(xiàng)操作(即嘗試登錄帳戶或發(fā)送消息)的頻率�����。如果有人達(dá)到他們的限制,服務(wù)器將開(kāi)始拒絕其他請(qǐng)求�����。速率限制既是網(wǎng)絡(luò)安全預(yù)防措施�����,也是軟件質(zhì)量保證 (QA)的關(guān)鍵部分�����。公司使用速率限制來(lái):
- 防止大量請(qǐng)求壓垮Web 或應(yīng)用程序服務(wù)器。
- 確保所有用戶都可以平等地訪問(wèn) API�����,并且沒(méi)有人會(huì)消耗過(guò)多的帶寬�����、數(shù)據(jù)存儲(chǔ)或內(nèi)存。
- 阻止人類(lèi)用戶�����、機(jī)器人和應(yīng)用程序(能夠調(diào)用 API 的任何人或任何事物)濫用 Web 資產(chǎn)�����。
- 防止不同類(lèi)型的惡意機(jī)器人活動(dòng)(即 DoS/DDoS 和暴力攻擊)�����。
從技術(shù)上講,速率限制是流量整形的一種形式�����。這種做法讓您可以控制流量的流動(dòng)和分配�����,以防止基礎(chǔ)設(shè)施過(guò)載或出現(xiàn)故障�����。大多數(shù)具有速率限制的系統(tǒng)的上限都遠(yuǎn)高于即使是高容量用戶也可以實(shí)際要求的上限�����。最常見(jiàn)的例子是社交媒體消息傳遞�����。所有社交媒體網(wǎng)站都對(duì)您可以發(fā)送給其他用戶的直接消息的數(shù)量設(shè)置了上限�����。如果有人決定向其他配置文件發(fā)送一千條消息,速率限制就會(huì)啟動(dòng)并阻止用戶在一段時(shí)間內(nèi)發(fā)送消息�����。
為什么速率限制很重要�����?
以下列出了為什么速率限制是任何健康服務(wù)的重要方面的主要原因:
- 防止過(guò)載:過(guò)多的請(qǐng)求會(huì)使服務(wù)器不堪重負(fù)�����,導(dǎo)致其速度變慢甚至變得無(wú)響應(yīng)。限制服務(wù)器或 API 處理的請(qǐng)求數(shù)量有助于保持服務(wù)的性能和可用性�����。
- 確保公平:速率限制可防止任何用戶以犧牲他人為代價(jià)來(lái)獨(dú)占資源�����。對(duì)允許的請(qǐng)求設(shè)置上限可以讓每個(gè)人都有公平的機(jī)會(huì)使用該服務(wù)�����。
- 管理成本:如果對(duì)服務(wù)發(fā)出的每個(gè)請(qǐng)求都有成本�����,則速率限制對(duì)于控制費(fèi)用和確保資源的有效利用至關(guān)重要�����。
- 使用計(jì)量:如果用戶注冊(cè)的計(jì)劃允許例如每小時(shí) 1000 個(gè) API 請(qǐng)求,則速率限制可確?����?蛻舳吮3衷谠O(shè)定的上限內(nèi)�����。
- 控制數(shù)據(jù)流:速率限制使管理員能夠控制數(shù)據(jù)流�����,這是處理大量數(shù)據(jù)的 API 的關(guān)鍵。例如,您可以通過(guò)限制流入每個(gè)元素的流量在兩個(gè) API 之間平均分配數(shù)據(jù)。
- 防止惡意活動(dòng):速率限制對(duì)于防止多種類(lèi)型的網(wǎng)絡(luò)攻擊至關(guān)重要�����。這種做法是應(yīng)對(duì)拒絕服務(wù)攻擊(向服務(wù)器發(fā)送大量請(qǐng)求�����,試圖使其無(wú)響應(yīng))�����、暴力攻擊(機(jī)器人試圖通過(guò)輸入隨機(jī)字符來(lái)猜測(cè)登錄密碼)和憑據(jù)填充的首選方法(使用受損用戶憑據(jù)列表來(lái)侵入系統(tǒng))。
速率限制如何工作�����?
為了設(shè)置速率限制�����,管理員對(duì)用戶在特定時(shí)間范圍內(nèi)可以向服務(wù)器或 API 發(fā)出的請(qǐng)求數(shù)量設(shè)置上限�����。通常,限速機(jī)制跟蹤兩個(gè)關(guān)鍵因素:
- 發(fā)送請(qǐng)求的用戶的IP地址。
- 每個(gè)請(qǐng)求之間經(jīng)過(guò)了多少時(shí)間�����。
速率限制的主要指標(biāo)是每秒事務(wù)數(shù) (TPS)�����。如果單個(gè) IP 地址在特定時(shí)間段內(nèi)發(fā)出過(guò)多請(qǐng)求(即超過(guò)其 TPS 限制)�����,則速率限制會(huì)阻止服務(wù)器或 API 響應(yīng)。用戶收到一條錯(cuò)誤消息�����,并且在計(jì)時(shí)器重置之前無(wú)法發(fā)送進(jìn)一步的請(qǐng)求�����。
速率限制總是依賴(lài)于某種形式的節(jié)流機(jī)制來(lái)減慢或阻止請(qǐng)求。管理員在服務(wù)器端或客戶端實(shí)施速率限制�����,具體取決于哪種策略更適合用例:
- 服務(wù)器端速率限制在防止過(guò)載和阻止惡意活動(dòng)方面更有效�����。
- 客戶端速率限制更擅長(zhǎng)管理成本和確保資源的公平使用�����。
許多管理員還根據(jù)用戶名設(shè)置速率限制。這種方法可以防止暴力攻擊者嘗試從多個(gè) IP 地址登錄�����。
速率限制的類(lèi)型
讓我們看看可用于控制對(duì)服務(wù)器或 API 的訪問(wèn)的不同類(lèi)型的速率限制�����。請(qǐng)記住�����,您可以將不同類(lèi)型組合成一個(gè)混合策略。例如�����,您可以限制基于 IP 地址和特定時(shí)間間隔的請(qǐng)求數(shù)量�����。
基于時(shí)間的速率限制
基于時(shí)間的速率限制在預(yù)定義的時(shí)間間隔上運(yùn)行�����。例如,服務(wù)器可以將請(qǐng)求限制為每個(gè)時(shí)間段的特定數(shù)量(例如每分鐘 100 個(gè))�����?����;跁r(shí)間的速率限制通常適用于所有用戶�����。您可以將這些限制設(shè)置為固定(計(jì)時(shí)器倒計(jì)時(shí),無(wú)論用戶何時(shí)以及是否提出請(qǐng)求)或滑動(dòng)(倒計(jì)時(shí)在有人發(fā)出第一個(gè)請(qǐng)求時(shí)開(kāi)始)�����。
地理速率限制
地理速率限制限制來(lái)自特定區(qū)域的請(qǐng)求數(shù)量�����。在運(yùn)行基于位置的廣告系列時(shí)�����,這些上限是一個(gè)很好的選擇�����。管理員可以限制來(lái)自目標(biāo)受眾之外的請(qǐng)求并提高目標(biāo)區(qū)域的可用性�����。
這些速率限制也有助于防止可疑流量。例如,您可以預(yù)測(cè)某個(gè)地區(qū)的用戶在晚上 11:00 到早上 8:00 之間不太活躍�����。您為這次設(shè)置了較低的速率限制�����,這進(jìn)一步限制了任何希望引起惡意流量問(wèn)題的攻擊者�����。
基于用戶的速率限制
基于用戶的速率限制控制單個(gè)用戶在特定時(shí)間范圍內(nèi)可以執(zhí)行的操作數(shù)。例如�����,服務(wù)器可能會(huì)將每個(gè)用戶每天可以進(jìn)行的登錄嘗試次數(shù)限制為 100 次�����。
基于用戶的限制是最常見(jiàn)的速率限制類(lèi)型�����。大多數(shù)系統(tǒng)跟蹤用戶的 IP 地址或 API 密鑰(或兩者)�����。如果用戶超過(guò)設(shè)定的速率限制�����,應(yīng)用程序會(huì)拒絕任何進(jìn)一步的請(qǐng)求�����,直到每用戶計(jì)數(shù)器重置�����。請(qǐng)記住�����,這種類(lèi)型的速率限制需要系統(tǒng)維護(hù)每個(gè)用戶的使用統(tǒng)計(jì)信息�����。此類(lèi)設(shè)置通常會(huì)導(dǎo)致運(yùn)營(yíng)開(kāi)銷(xiāo)并增加總體IT 成本�����。
并發(fā)率限制
并發(fā)率限制控制系統(tǒng)在特定時(shí)間范圍內(nèi)允許的并行會(huì)話數(shù)�����。例如,一個(gè)應(yīng)用程序可能會(huì)在一分鐘內(nèi)阻止超過(guò) 1000 個(gè)會(huì)話�����。
服務(wù)器速率限制
服務(wù)器速率限制可幫助管理員在不同服務(wù)器之間分擔(dān)工作負(fù)載�����。例如�����,如果您運(yùn)行一個(gè)包含五臺(tái)服務(wù)器的分布式架構(gòu),您可以使用速率限制為每臺(tái)設(shè)備設(shè)置一個(gè)上限。
如果其中一臺(tái)服務(wù)器達(dá)到其上限,則設(shè)備會(huì)將其路由到另一臺(tái)服務(wù)器或丟棄請(qǐng)求�����。這種策略對(duì)于實(shí)現(xiàn)高可用性和防止針對(duì)特定服務(wù)器的 DoS 攻擊至關(guān)重要�����。
API 基于端點(diǎn)的速率限制
這些速率限制基于用戶嘗試訪問(wèn)的特定 API 端點(diǎn)。例如,出于安全或過(guò)載考慮,管理員可能會(huì)將對(duì)特定端點(diǎn)的請(qǐng)求限制為每分鐘 50 個(gè)。
速率限制算法
以下是公司實(shí)施速率限制所依賴(lài)的最常見(jiàn)算法:
- 令牌桶:用戶每次發(fā)出請(qǐng)求�����,系統(tǒng)從所謂的令牌桶中取出一個(gè)令牌�����。一旦桶為空,用戶就無(wú)法發(fā)出進(jìn)一步的請(qǐng)求,直到重新填充重置會(huì)話令牌的數(shù)量�����。
- 貪心令牌桶:該算法允許用戶積累未使用的令牌并建立更大的桶�����。沒(méi)有充分利用其配額的用戶在未來(lái)使用更多的令牌(即請(qǐng)求)�����。
- 漏桶:每當(dāng)有人發(fā)出請(qǐng)求時(shí),系統(tǒng)都會(huì)在用戶的桶中添加一個(gè)令牌�����。如果桶已滿(即用戶達(dá)到設(shè)定的限制)�����,系統(tǒng)將丟棄所有進(jìn)一步的請(qǐng)求�����。漏桶很容易在負(fù)載均衡器上實(shí)現(xiàn),并且內(nèi)存效率很高。
- 固定窗口:此算法限制用戶在固定時(shí)間窗口(通常為一分鐘或一小時(shí))內(nèi)可以發(fā)出的請(qǐng)求數(shù)�����。例如�����,服務(wù)器在上午 11:00 到 11:01 之間可能只處理 100 個(gè)請(qǐng)求�����。上午 11:01�����,窗口重置。
- 滾動(dòng)窗口:這種方法不像以前的算法那樣使用固定時(shí)間窗口�����,而是依賴(lài)于滾動(dòng)窗口。時(shí)間范圍僅在用戶發(fā)出新請(qǐng)求時(shí)開(kāi)始�����。例如�����,如果第一個(gè)請(qǐng)求恰好在 10:15:48 到達(dá)并且速率限制為每分鐘 20 個(gè)�����,則服務(wù)器將在 10:16:48 之前允許另外 19 個(gè)請(qǐng)求�����。
- 滑動(dòng)日志:該算法要求系統(tǒng)為每個(gè)用戶維護(hù)一個(gè)帶時(shí)間戳的請(qǐng)求日志(集或表)。系統(tǒng)計(jì)算日志總和來(lái)確定請(qǐng)求率。如果速率超過(guò)閾值速率�����,系統(tǒng)將保持請(qǐng)求�����;否則,系統(tǒng)為請(qǐng)求提供服務(wù)�����。
如何實(shí)現(xiàn)速率限制�����?
以下是實(shí)施速率限制的分步指南(盡管設(shè)置限制的確切方式取決于您的特定技術(shù)棧):
- 確定速率限制規(guī)則:確定您將使用的特定速率限制�����。確定速率限制的類(lèi)型(基于時(shí)間、基于請(qǐng)求等)�����、限制本身(即允許的請(qǐng)求數(shù))以及限制的持續(xù)時(shí)間�����。
- 選擇速率限制算法:選擇最適合您要求的算法�����。一般來(lái)說(shuō)�����,令牌桶適用于大多數(shù)基于用戶的限速。同樣�����,固定窗口非常適合基于時(shí)間的速率限制�����。
- 決定在何處實(shí)施速率限制:決定團(tuán)隊(duì)是否應(yīng)在服務(wù)器端或客戶端(或兩者)實(shí)施速率限制�����。
- 實(shí)施速率限制:接下來(lái),部署所選的速率限制算法�����。此過(guò)程通常涉及提供速率限制功能的公共模塊�����,盡管您的團(tuán)隊(duì)可能必須編寫(xiě)一些自定義代碼。
- 測(cè)試速率限制:速率限制機(jī)制一旦設(shè)置�����,就需要進(jìn)行大量測(cè)試。結(jié)合使用手動(dòng)和自動(dòng)測(cè)試來(lái)模擬不同的交通狀況。定期測(cè)試系統(tǒng)并根據(jù)需要調(diào)整規(guī)則以保持性能水平。
對(duì)于大多數(shù)用例來(lái)說(shuō),實(shí)施速率限制是一個(gè)簡(jiǎn)單的過(guò)程�����。例如�����,如果您使用 Nginx 作為 Web 服務(wù)器并希望在服務(wù)器級(jí)別設(shè)置速率限制�����,您將使用 ngx_http_limit_req_module模塊。只需將以下代碼添加到 Nginx 配置文件中�����,即可根據(jù)用戶的 IP 地址設(shè)置速率限制:
HTTP {
limit_req_zone $binary_remote_addr zone=one:10m rate=2r/s;
...
服務(wù)器 {
...
位置/促銷(xiāo)/ {
limit_req zone=one burst=5;
}
}
上面的代碼平均每秒允許不超過(guò) 2 個(gè)請(qǐng)求�����,而突發(fā)不能超過(guò) 5 個(gè)請(qǐng)求�����。
一種簡(jiǎn)單但非常有效的防御措施
速率限制對(duì)于 API�����、應(yīng)用程序和網(wǎng)站的安全性和質(zhì)量至關(guān)重要。未能限制請(qǐng)求數(shù)量會(huì)使您容易受到基于流量的攻擊并導(dǎo)致性能不佳(這會(huì)導(dǎo)致更高的跳出率�����、客戶保留問(wèn)題等)�����?����?紤]到實(shí)施此預(yù)防措施有多么容易�����,對(duì)于大多數(shù)用例來(lái)說(shuō)�����,設(shè)置速率限制是一個(gè)無(wú)需動(dòng)腦筋的決定。
網(wǎng)站資訊
解決方案
服務(wù)支持
