Rate Limiting
O que é Rate Limiting?
Rate LimitingO rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force.
Rate limiting e um controle de traffic shaping que aplica um maximo de requisicoes por identificador e por intervalo, retornando 429 Too Many Requests ou enfileirando ao esgotar o orcamento. Algoritmos comuns incluem token bucket (tolerante a rajadas, taxa estavel), leaky bucket (suaviza rajadas em saida constante), fixed window (simples mas com picos nas bordas) e sliding window (mais preciso, levemente mais custoso). API gateways, CDNs e WAFs modernos aplicam limites por varias chaves (IP, usuario, token, endpoint) combinados com gestao de bots e defesas contra credential stuffing. E a primeira linha de defesa mais barata contra scraping, enumeracao, login por forca bruta e tempestades acidentais de retries.
● Exemplos
- 01
Limitar uma API publica de login a 10 requisicoes por minuto por IP para conter credential stuffing.
- 02
Throttling com token bucket em um endpoint de busca para absorver picos e barrar um scraper.
● Perguntas frequentes
O que é Rate Limiting?
O rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force. Pertence à categoria Segurança de rede da cibersegurança.
O que significa Rate Limiting?
O rate limiting limita o numero de requisicoes que um identificador (IP, usuario, chave de API ou token) pode fazer em uma janela de tempo, protegendo APIs e aplicacoes contra abuso, scraping e brute-force.
Como funciona Rate Limiting?
Rate limiting e um controle de traffic shaping que aplica um maximo de requisicoes por identificador e por intervalo, retornando 429 Too Many Requests ou enfileirando ao esgotar o orcamento. Algoritmos comuns incluem token bucket (tolerante a rajadas, taxa estavel), leaky bucket (suaviza rajadas em saida constante), fixed window (simples mas com picos nas bordas) e sliding window (mais preciso, levemente mais custoso). API gateways, CDNs e WAFs modernos aplicam limites por varias chaves (IP, usuario, token, endpoint) combinados com gestao de bots e defesas contra credential stuffing. E a primeira linha de defesa mais barata contra scraping, enumeracao, login por forca bruta e tempestades acidentais de retries.
Como se defender contra Rate Limiting?
As defesas contra Rate Limiting costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Rate Limiting?
Nomes alternativos comuns: Throttling, Limite de taxa de API.
● Termos relacionados
- network-security№ 291
Mitigacao de DDoS
Mitigacao de DDoS e o conjunto de tecnicas e servicos que absorvem, filtram e redirecionam ataques distribuidos de negacao de servico antes que esgotem a rede, a infraestrutura ou a aplicacao alvo.
- network-security№ 118
Gestao de Bots
Gestao de bots e a pratica de detectar trafego automatizado e distinguir bots bons de maliciosos, permitindo, desafiando ou bloqueando cada um conforme apropriado.
- network-security№ 1219
WAAP
WAAP (Web Application and API Protection) e a evolucao moderna do WAF, incluindo seguranca de APIs, gestao de bots e mitigacao de DDoS em um servico cloud unificado.
- appsec№ 052
Segurança de API
Disciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
- attacks№ 232
Credential stuffing
Ataque automatizado que reenvia grandes listas de pares utilizador/palavra-passe vazadas de um serviço contra outros, explorando a reutilização de credenciais.
- attacks№ 130
Ataque de força bruta
Ataque que tenta sistematicamente todos os valores possíveis — normalmente palavras-passe, PIN ou chaves — até encontrar o correto.
● Veja também
- № 144CAPTCHA
- № 151Seguranca de CDN
- № 008Enumeração de contas
- № 1196Enumeração de nomes de utilizador