Limiter le taux pour la protection DOS
Le but central de la limitation actuelle est de réduire l'impact des attaques DOS sur le système, plutôt que de bloquer complètement les attaques. Il contrôle le nombre de demandes par unité de temps pour éviter que les ressources du serveur ne soient épuisées instantanément, afin que les utilisateurs légitimes puissent toujours accéder normalement. Les stratégies courantes incluent des fenêtres fixes, des fenêtres coulissantes, des seaux de jeton et des seaux qui fuient. La définition d'une valeur limite actuelle raisonnable nécessite de combiner le trafic de service et la tolérance du système, se référant aux QP de pointe et en laissant des tampons, et en considérant des facteurs tels que le type d'utilisateur, le type de demande et la distribution géographique. Les méthodes d'implémentation couvrent la couche d'application, la couche proxy inverse, le fournisseur de services CDN ou cloud et la couche de base de données. De plus, les limites de flux HTTP et HTTPS doivent être gérées uniformément, le code d'état 429 doit être utilisé en réponse pour éviter la fuite d'informations, et des tests de concurrence élevés doivent être effectués avant de se rendre en ligne pour s'assurer que la politique est efficace.
Le mécanisme de limitation des taux qui empêche les attaques de DOS n'est pas de bloquer complètement l'attaque, mais de réduire l'impact de l'attaque sur le système. Il ne peut pas remplacer un système de protection complet, mais il s'agit d'une première ligne de défense très pratique dans la plupart des services.
Qu'est-ce que la limite de courant? Pourquoi peut-il être protégé contre DOS?
La limitation actuelle contrôle essentiellement le nombre de demandes par unité de temps. Les attaques DOS consomment généralement les ressources du serveur via de grandes quantités de demandes, telles que le nombre de connexions, la bande passante ou la puissance de traitement. La limitation actuelle peut empêcher que ces ressources soient remplies instantanément, afin que les utilisateurs légaux puissent toujours y accéder normalement.
Pour donner un exemple simple: une interface API traite jusqu'à 100 demandes par seconde. Si une IP envoie 200 demandes en une seconde, le système peut rejeter la pièce supplémentaire et même interdire temporairement l'IP. De cette façon, même si quelqu'un lance une petite attaque, l'ensemble du service ne sera pas paralysé.
Les stratégies de limitation du courant commun sont:
- Fenêtre fixe
- Fenêtre coulissante
- Seau de jeton (seau de jeton)
- Seau qui fuit
Comment définir des règles de limite actuelle raisonnables?
La définition de la valeur limite actuelle n'est pas déterminée par la tête. Il doit être jugé en fonction de la situation réelle du trafic de l'entreprise et de l'abordabilité du système. Trop lâche est inutile et trop strict peut nuire accidentellement aux utilisateurs normaux.
Vous pouvez d'abord collecter des journaux d'accès pendant une période de temps, examiner les QP moyens (demandes par seconde) pendant les périodes de pointe, puis laisser un petit espace tampon sur cette base. Par exemple, le pic quotidien est de 50 QPS, qui peut être fixé à 80 ou 100 pour éviter que le trafic élevé accidentel soit tué par accident.
En même temps, les points suivants doivent être pris en compte:
- Type d'utilisateur: utilisateur normal vs appelant API (tels que les applications tierces)
- Type de demande: certaines interfaces consomment plus de ressources que d'autres
- Distribution géographique: la question de savoir si l'accès à haute fréquence à partir de régions spécifiques est autorisée
De plus, il est recommandé d'imposer des restrictions supplémentaires sur un comportement anormal, tel que:
- Lock après la défaillance de la connexion dépasse un certain nombre de fois
- Le nombre maximum de connexions simultanées pour une seule IP
- Limites de fréquence pour certaines opérations sensibles (telles que la réinitialisation du mot de passe)
Quelles sont les moyens d'atteindre la limite actuelle?
Pour atteindre la limitation actuelle, vous pouvez commencer à partir de plusieurs niveaux et différents niveaux conviennent à différents scénarios:
Limitation de courant de la couche d'application (comme l'utilisation du middleware dans GO) Il existe certaines bibliothèques couramment utilisées dans l'écosystème de langue GO, telles que x/time/rate fournit des implémentations de baquet de jeton de base. Vous pouvez ajouter la logique limite actuelle au middleware de traitement HTTP et le contrôler en fonction de l'IP, de la clé de l'API et d'autres dimensions.
Limitation de courant de la couche proxy / passerelle inverse (comme Nginx, Envoy) Si vous utilisez NGINX ou des services proxy inverses similaires, ils prennent eux-mêmes les modules de limitation actuels. L'avantage de cette méthode est qu'il ne dépend pas de l'application elle-même et a de meilleures performances.
Les fournisseurs de services CDN ou cloud restreignent le trafic De nombreux fournisseurs de CDN ou de cloud (tels que CloudFlare, AWS) fournissent une protection DDOS et des fonctions de limitation de courant. Ce type de solution est généralement hautement intégré et pratique à configurer, et convient aux équipes qui ne veulent pas maintenir le système limitant actuel par eux-mêmes.
La couche de base de données peut également avoir un mécanisme fini du flux Bien qu'ils ne soient pas très courants, certaines bases de données (telles que Redis) peuvent être utilisées pour stocker les compteurs de limite actuels et implémenter les opérations atomiques avec des scripts LUA pour garantir la précision.
Les petits détails sont faciles à ignorer mais sont essentiels
Par exemple, devrions-nous faire la distinction entre HTTPS et HTTP lors de la limitation de l'écoulement? En fait, il doit être géré uniformément, car l'attaquant peut contourner HTTPS et frapper directement HTTP.
En outre, vous devez également prêter attention à la réponse après la limite actuelle. Le retour 429 (trop de demandes) est la pratique la plus standard, mais n'exposez pas trop d'informations internes, telles que "vous avez toujours x secondes pour réessayer", ce qui peut fournir des indices de débogage sur les attaquants.
Le dernier point est les tests. Avant de vous rendre en ligne, vous devez simuler des scénarios à haut niveau pour vérifier si la stratégie limitante actuelle est efficace et s'il y aura un blocage erroné ou manqué.
Fondamentalement, c'est tout.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undress AI Tool
Images de déshabillage gratuites
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Développer des opérateurs de Kubernetes en Go
Jul 25, 2025 am 02:38 AM
La façon la plus efficace d'écrire un kubernetesoperator est d'utiliser Go pour combiner kubebuilder et contrôleur-runtime. 1. Comprendre le modèle de l'opérateur: définir les ressources personnalisées via CRD, écrivez un contrôleur pour écouter les changements de ressources et effectuer des boucles de réconciliation pour maintenir l'état attendu. 2. Utilisez KubeBuilder pour initialiser le projet et créer des API pour générer automatiquement les CRD, les contrôleurs et les fichiers de configuration. 3. Définissez la structure de spécification et de statut de CRD dans API / V1 / MYAPP_TYPES.go, et exécutez MakeManifests pour générer CRDYAML. 4. Réconcilier dans le contrôleur
Comment se remettre d'une panique en Go?
Jul 23, 2025 am 04:11 AM
La panique est comme un programme "cardiaque" en Go. Le récupération peut être utilisé comme "outil de premiers soins" pour éviter les accidents, mais récupérer ne prend effet que dans la fonction de différence. 1. Le débit est utilisé pour éviter les laps de service, les journaux de journaux et les erreurs amicales de retour. 2. Il doit être utilisé en conjonction avec un repère et ne prend effet que sur la même goroutine. Le programme ne revient pas au point de panique après la récupération. 3. Il est recommandé de l'utiliser au niveau supérieur ou à l'entrée critique, et ne vous en abusez pas, et n'accordez pas la priorité à l'utilisation du traitement des erreurs. 4. Le modèle commun est d'encapsuler des fonctions Saferun pour envelopper une éventuelle logique de panique. Ce n'est qu'en maîtrisant ses scénarios d'utilisation et ses limitations qu'il peut jouer correctement son rôle.
Stack vs tas-tas allocation avec des pointeurs en Go
Jul 23, 2025 am 04:14 AM
L'allocation de pile convient aux petites variables locales avec des cycles de vie clairs et est automatiquement géré, à vitesse rapide mais de nombreuses restrictions; L'allocation de tas est utilisée pour les données avec des cycles de vie longs ou incertains, et est flexible mais a un coût de performance. Le compilateur GO détermine automatiquement la position d'allocation variable par analyse d'échappement. Si la variable peut s'échapper de la portée de la fonction actuelle, elle sera allouée au tas. Les situations courantes qui provoquent une évasion comprennent: le renvoi des pointeurs de variables locales, l'attribution de valeurs aux types d'interface et le passage des goroutines. Les résultats de l'analyse d'échappement peuvent être visualisés via -gcflags = "- m". Lorsque vous utilisez des pointeurs, vous devez faire attention au cycle de vie variable pour éviter les évasions inutiles.
Passez l'exemple de l'exemple de journalisation du middleware http
Aug 03, 2025 am 11:35 AM
HTTP Log Middleware dans GO peut enregistrer les méthodes de demande, les chemins de requête, la propriété intellectuelle du client et le temps qui prend du temps. 1. Utilisez http.handlerfunc pour envelopper le processeur, 2. Enregistrez l'heure de début et l'heure de fin avant et après l'appel Suivant.Servehttp, 3. Obtenez le vrai client IP via R.RemoteAddr et X-Forwared-For Headers, 4. Utilisez le log.printf aux journaux de demande de sortie, 5. L'exemple de code complet a été vérifié pour s'exécuter et convient au démarrage d'un projet petit et moyen. Les suggestions d'extension incluent la capture des codes d'état, la prise en charge des journaux JSON et le suivi des ID de demande.
Optez pour l'informatique scientifique et l'analyse numérique
Jul 23, 2025 am 01:53 AM
Le langage GO peut être utilisé pour les calculs scientifiques et l'analyse numérique, mais il faut comprendre. L'avantage réside dans le support et les performances de la concurrence, qui conviennent aux algorithmes parallèles tels que la solution distribuée, la simulation Monte Carlo, etc.; Les bibliothèques communautaires telles que Gonum et MAT64 offrent des fonctions de calcul numérique de base; La programmation hybride peut être utilisée pour appeler C / C et Python via CGO ou Interface pour améliorer la praticité. La limitation est que l'écosystème n'est pas aussi mature que Python, la visualisation et les outils avancés sont plus faibles et certains documents de bibliothèque sont incomplets. Il est recommandé de sélectionner des scénarios appropriés en fonction des fonctionnalités GO et de se référer aux exemples de code source pour les utiliser en profondeur.
La lecture de Stdin dans GO par l'exemple
Jul 27, 2025 am 04:15 AM
Utilisez fmt.scanf pour lire l'entrée formatée, adaptée aux données structurées simples, mais la chaîne est coupée lors de la rencontre des espaces; 2. Il est recommandé d'utiliser Bufio.Scanner pour lire la ligne par ligne, prend en charge les entrées multi-lignes, la détection EOF et l'entrée du pipeline et peut gérer les erreurs de numérisation; 3. Utilisez io.readall (os.stdin) pour lire toutes les entrées à la fois, adapté au traitement de grandes données de bloc ou de flux de fichiers; 4. La réponse clé en temps réel nécessite des bibliothèques tierces telles que golang.org/x/term, et Bufio est suffisant pour les scénarios conventionnels; Suggestions pratiques: utilisez fmt.scan pour une entrée simple interactive, utilisez bufio.scanner pour une entrée de ligne ou un pipeline, utilisez io.readall pour les données de gros bloc et gérez toujours
Comment fonctionne l'instruction Switch?
Jul 30, 2025 am 05:11 AM
L'instruction Switch de Go ne sera pas exécutée tout au long du processus par défaut et quittera automatiquement après la correspondance de la première condition. 1. Switch commence par un mot-clé et peut transporter une valeur ou aucune valeur; 2. Les matchs de cas de haut en bas dans l'ordre, seul le premier match est exécuté; 3. Plusieurs conditions peuvent être répertoriées par des virgules pour correspondre au même cas; 4. Il n'est pas nécessaire d'ajouter manuellement la pause, mais peut être forcé; 5.Default est utilisé pour les cas inégalés, généralement placés à la fin.
Passez par l'exemple des génériques
Jul 29, 2025 am 04:10 AM
Les génériques GO sont pris en charge depuis 1.18 et sont utilisés pour écrire du code générique pour le type de type. 1. La fonction générique imprimslice [tany] (s [] t) peut imprimer des tranches de tout type, telles que [] int ou [] chaîne. 2. Grâce au nombre de contraintes de type, les limites des types numériques tels que int et float, sum [tnumber] (tranche [] t) t La sommation sûre est réalisée. 3. La boîte de type générique de structure [tany] struct {Valuet} peut encapsuler n'importe quelle valeur de type et être utilisée avec le constructeur newbox [tany] (VT) * Box [t]. 4. Ajouter SET (VT) et Get () T Méthodes T à boxer [t] sans
