限速
限速 是什么?
限速限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
限速是一种流量整形控制,对每个标识在每个时间窗口内的最大请求数加以限制;一旦超出预算就返回 429 Too Many Requests 或将请求排队。常见算法包括 token bucket(容许突发、速率稳定)、leaky bucket(把突发平滑成恒定输出)、fixed window(实现简单但边界处会有尖峰)以及 sliding window(更精确但成本略高)。现代 API 网关、CDN 与 WAF 通常会基于多个键(IP、用户、令牌、端点)实施限速,并与机器人管理、撞库防御配合。限速是最廉价的第一道防线,可有效遏制爬虫、枚举、暴力破解登录,以及客户端意外重试风暴。
● 示例
- 01
把对外登录 API 限制为每 IP 每分钟 10 次,以减缓撞库攻击。
- 02
搜索接口使用 token bucket 限速,在吸收突发的同时阻止爬虫。
● 常见问题
限速 是什么?
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。 它属于网络安全的 网络安全 分类。
限速 是什么意思?
限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
限速 是如何工作的?
限速是一种流量整形控制,对每个标识在每个时间窗口内的最大请求数加以限制;一旦超出预算就返回 429 Too Many Requests 或将请求排队。常见算法包括 token bucket(容许突发、速率稳定)、leaky bucket(把突发平滑成恒定输出)、fixed window(实现简单但边界处会有尖峰)以及 sliding window(更精确但成本略高)。现代 API 网关、CDN 与 WAF 通常会基于多个键(IP、用户、令牌、端点)实施限速,并与机器人管理、撞库防御配合。限速是最廉价的第一道防线,可有效遏制爬虫、枚举、暴力破解登录,以及客户端意外重试风暴。
如何防御 限速?
针对 限速 的防御通常结合技术控制与运营实践,详见上方完整定义。
限速 还有哪些其他名称?
常见的别称包括: 流控, API 速率限制。
● 相关术语
- network-security№ 291
DDoS 缓解
DDoS 缓解是一套技术和服务,用于在分布式拒绝服务攻击耗尽目标的网络、基础设施或应用容量之前,吸收、过滤并重路由这些攻击流量。
- network-security№ 118
机器人管理
机器人管理是指识别自动化流量、区分善意机器人与恶意机器人,并据此分别放行、挑战或阻断。
- network-security№ 1219
WAAP
WAAP(Web 应用与 API 防护)是 WAF 的现代演进形态,在统一的云服务中集成 API 安全、机器人管理与 DDoS 防护。
- appsec№ 052
API 安全
围绕 API 的设计、构建与运营,使其在受到攻击时仍能保持身份认证、授权、数据暴露与抗滥用能力的实践。
- attacks№ 232
撞库攻击
利用某一服务泄露的大量用户名/密码组合,在其他服务上自动重放登录,利用用户密码复用接管账户的攻击。
- attacks№ 130
暴力破解攻击
系统性地枚举所有可能值(通常是密码、PIN 或密钥),直到找到正确值的攻击。
● 参见
- № 144CAPTCHA(验证码)
- № 151CDN 安全
- № 008账户枚举
- № 1196用户名枚举