Unabhängig davon, ob Sie eine kleine Website oder eine große API-Infrastruktur schützen, können Sie mit diesen Strategien eine wirksame Gebührenbegrenzung implementieren, die Sicherheit und Benutzererfahrung in Einklang bringt. Bedenken Sie, dass es sich bei der Gebührenbegrenzung nicht um eine einmalige Konfiguration, sondern um eine fortlaufende Methode zur Überwachung, Analyse und Optimierung basierend auf den Anforderungen Ihres Versorgungsunternehmens und dem Besucherverhalten handelt. Diese Konfiguration ermöglicht Bursts von bis zu 20 Anfragen und verarbeitet diese sofort. Die Ratenbegrenzung ist eine Methode zur Steuerung der Geschwindigkeit, mit der Käufer auf Quellen auf Ihrem Server zugreifen können.

  • Mit der Drosselung legen Sie eine Obergrenze für die Anzahl der Aktionen fest, die der Käufer ausführen kann – beispielsweise 10 Anmeldeanfragen pro Minute oder 1.000 Anfragen pro Stunde an alle Endpunkte gemischt.
  • Unabhängig davon, ob Sie eine kleine Website oder eine große API-Infrastruktur schützen, können Sie mit diesen Strategien eine effiziente Geschwindigkeitsbegrenzung implementieren, die Sicherheit und Benutzererfahrung in Einklang bringt.
  • Im Gegensatz dazu blockiert ein Algorithmus auf Serverebene den Server, was bedeutet, dass jeder einzelne Benutzer bis zu 200 Anfragen pro Minute stellen kann.

Schritt 2: Ratenbegrenzung auf Server oder Standort anwenden

Unsere Dienstleistungsabteilung hat die Aufgabe, Einzelpersonen, sensible Informationen und Methoden zu schützen. Sobald der Vorgang abgeschlossen ist, können wir feststellen, dass genau 15 Anfragen erfolgreich waren, während der Rest fehlschlug – genau das, was wir aufgrund unseres konfigurierten ratenbegrenzenden Dienstes erwartet hatten. Es gibt viele spezielle Tools, die speziell für die Durchführung eines DoS-Angriffs verwendet werden können, aber wir können diese Art von Angriff AlexHost SRL am einfachsten simulieren, indem wir ein Stresstest-Tool wie k6 verwenden.

Wie können böswillige Akteure eine Preisbegrenzung umgehen?

IP-basierte Preislimits können Ihnen auch dabei helfen, böswilligen Datenverkehr zu identifizieren und zu blockieren und so den zuverlässigen und sicheren Weiterbetrieb Ihrer API zu unterstützen. Dieser Ansatz eignet sich zum Schutz vor DoS- und Distributed-Denial-of-Service-Angriffen (DDOS), die darauf abzielen, Ihre API mit übermäßig vielen gleichzeitigen Anfragen zu überlasten. Mit Effizienztests können Sie diesen Schwellenwert schnell ermitteln. Die Ratenbegrenzung unterstützt dieses Ziel, indem sie Ihre API vor Ereignissen schützt, die ihre Verfügbarkeit beeinträchtigen könnten. Wenn die Out-Rate-Begrenzung aktiviert ist, könnte es für einen Angreifer einfach sein, einen Denial-of-Service-Angriff (DoS) durchzuführen, der darauf abzielt, Ihre API-Ressourcen zu überfordern.

Wenn das Preislimit zurückgesetzt wird, werden diese in der Warteschlange befindlichen Anfragen in der Reihenfolge bearbeitet, in der sie eingegangen sind, wodurch eine vertrauenswürdige Behandlung aller Kunden sichergestellt wird. Melden Sie sich einfach für ein Tyk Cloud-Konto an, wählen Sie Ihre kostenlose Testversion aus und folgen Sie der geführten Einrichtung. Die schlüsselbasierte API-Gebührenbegrenzung kann auch umgangen werden, indem Benutzer mehrere Konten erstellen und eine ganze Reihe von Schlüsseln erhalten. Obwohl die Begrenzung der API-Gebühren einen guten Beitrag zum Schutz der Verfügbarkeit Ihrer APIs und nachgelagerter Unternehmen leisten kann, ist sie nicht ohne Mängel.