ウェブリクエストのレート制限アルゴリズムを実装する最良の方法は何ですか？

Question

部分/

重複の可能性：

• What’s a good rate limiting algorithm?
• Throttling method calls to M requests in N seconds
• Best way to implement request throttling in ASP.NET MVC?

私は減らすために、Webアプリケーションのためのアルゴリズムを制限する移動時間ウィンドウ率を実施するための最良の方法を探していますスパムまたはブルートフォース攻撃。

「過去5分間の特定のIPからのログイン失敗の最大回数」、「最後のN分間の最大（投稿/投票/ etc ...）」などがあります。

x分ごとにハードリセット（twitter apiなど）ではなく、移動時間ウィンドウアルゴリズムを使用することをお勧めします。

これはC＃/ ASP.Netアプリケーション用です。

Answer 1

memcachedのような高速メモリベースのハッシュテーブルを使用します。キーは制限するターゲット（たとえばIP）になり、保存された値の有効期限は最大制限時間になります。

各キーに格納された値には、アクションを実行した最後のN回の試行のリストと、試行ごとの時間が含まれます。

Answer 2

Token Bucketが、このようなレート制限のより良いアルゴリズムであることが判明しました。それはルータ/スイッチで広く使用されているので、私たちのオペレーションの方々はこのコンセプトをよく知っています。

Answer 3

ますこのページでは興味深い読み取りであることがわかり：

http://www.codeproject.com/KB/aspnet/10ASPNetPerformance.aspx

セクション次のように開始するために外を見るために：

防止サービス拒否（DoS）攻撃

Webサービスはハッカーにとって最も魅力的なターゲットです。就学前のハッカーであっても、高価な作業を行うWebサービスを繰り返し呼び出すことによって、

編集：ここに同様の質問：

Best way to implement request throttling in ASP.NET MVC?

Answer 4

ただ、この問題へのより「現代的な」答えを追加する：.NET WebAPIの、WebApiThrottleのためには優れており、おそらくのうち、あなたが望むすべてを行いボックス。

また、available on NuGetです。

実装は分程度を要し、それは高度にカスタマイズ可能です：

config.MessageHandlers.Add(new ThrottlingHandler() 
{ 
    Policy = new ThrottlePolicy(perSecond: 1, perMinute: 30, perHour: 500, perDay:2000) 
    { 
     IpThrottling = true, 
     ClientThrottling = true, 
     EndpointThrottling = true 
    }, 
    Repository = new CacheRepository() 
}); 

Answer 5

私はちょうど私が毎分のみ60の要求を許可するようにHttpRuntime.Cacheを使用質問Block API requests for 5 mins if API rate limit exceeds.
に答えを追加しました。上限を超えると、次の5分間はAPIがブロックされます。