Rate Limiting
Was ist Rate Limiting?
Rate LimitingRate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.
Rate Limiting ist eine Traffic-Shaping-Kontrolle, die ein Maximum an Requests pro Identifier und Intervall durchsetzt und beim Aufbrauchen des Budgets 429 Too Many Requests zurueckliefert oder Requests einreiht. Gaengige Algorithmen sind Token Bucket (burst-tolerant, ratenstabil), Leaky Bucket (glaettet Bursts in konstanten Output), Fixed Window (einfach, aber mit Grenzpeaks) und Sliding Window (genauer, etwas teurer). Moderne API-Gateways, CDNs und WAFs setzen Multi-Key-Limits (pro IP, User, Token, Endpoint) ein und kombinieren sie mit Bot-Management und Credential-Stuffing-Defense. Rate Limiting ist die guenstigste erste Linie gegen Scraping, Enumeration, Brute-Force-Logins und versehentliche Client-Retry-Stuerme.
● Beispiele
- 01
Begrenzung einer Public Login API auf 10 Requests pro Minute pro IP gegen Credential Stuffing.
- 02
Token-Bucket-Throttling auf einem Such-Endpunkt, um Bursts zuzulassen und Scraper zu stoppen.
● Häufige Fragen
Was ist Rate Limiting?
Rate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet Rate Limiting?
Rate Limiting begrenzt die Anzahl von Anfragen, die ein Identifier (IP, User, API-Key oder Token) in einem Zeitfenster stellen darf, und schuetzt APIs und Apps vor Missbrauch, Scraping und Brute-Force.
Wie funktioniert Rate Limiting?
Rate Limiting ist eine Traffic-Shaping-Kontrolle, die ein Maximum an Requests pro Identifier und Intervall durchsetzt und beim Aufbrauchen des Budgets 429 Too Many Requests zurueckliefert oder Requests einreiht. Gaengige Algorithmen sind Token Bucket (burst-tolerant, ratenstabil), Leaky Bucket (glaettet Bursts in konstanten Output), Fixed Window (einfach, aber mit Grenzpeaks) und Sliding Window (genauer, etwas teurer). Moderne API-Gateways, CDNs und WAFs setzen Multi-Key-Limits (pro IP, User, Token, Endpoint) ein und kombinieren sie mit Bot-Management und Credential-Stuffing-Defense. Rate Limiting ist die guenstigste erste Linie gegen Scraping, Enumeration, Brute-Force-Logins und versehentliche Client-Retry-Stuerme.
Wie schützt man sich gegen Rate Limiting?
Schutzmaßnahmen gegen Rate Limiting kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Rate Limiting?
Übliche alternative Bezeichnungen: Throttling, API-Rate-Limit.
● Verwandte Begriffe
- network-security№ 291
DDoS-Mitigation
DDoS-Mitigation umfasst Techniken und Dienste, die verteilte Denial-of-Service-Angriffe absorbieren, filtern und umleiten, bevor sie Netz, Infrastruktur oder Anwendung des Ziels ueberlasten.
- network-security№ 118
Bot-Management
Bot-Management erkennt automatisierten Traffic und unterscheidet gute von boesartigen Bots, um sie entsprechend zuzulassen, herauszufordern oder zu blockieren.
- network-security№ 1219
WAAP
WAAP (Web Application and API Protection) ist die moderne Weiterentwicklung des WAF und kombiniert API-Sicherheit, Bot-Management und DDoS-Schutz in einem einheitlichen Cloud-Service.
- appsec№ 052
API-Sicherheit
Disziplin, APIs so zu entwerfen, zu bauen und zu betreiben, dass Authentifizierung, Autorisierung, Datenoffenlegung und Missbrauchsresistenz auch unter Angriff Bestand haben.
- attacks№ 232
Credential Stuffing
Automatisierter Angriff, der riesige Listen aus geleakten Benutzer/Passwort-Paaren gegen andere Dienste abspielt und Passwort-Wiederverwendung ausnutzt, um Accounts zu übernehmen.
- attacks№ 130
Brute-Force-Angriff
Angriff, der systematisch jeden möglichen Wert – typischerweise Passwörter, PINs oder Schlüssel – ausprobiert, bis der richtige gefunden ist.
● Siehe auch
- № 144CAPTCHA
- № 151CDN-Sicherheit
- № 008Account-Enumeration
- № 1196Username-Enumeration