* আন * -প্রমাণিকৃত অনুরোধগুলিকে সীমাবদ্ধ রাখার হার

বলুন আমাদের লোড ব্যালেন্সার রয়েছে যা রেট সীমাবদ্ধ করে। রেট সীমাবদ্ধতা লগ-ইন করা ব্যবহারকারীদের জন্য বেশ সোজা বলে মনে হচ্ছে - কেবল JWT দেখুন এবং ব্যবহারকারীর জন্য শেষ 10 সেকেন্ডে কতগুলি অনুরোধ রয়েছে তা দেখতে মেমরির একটি ইন-মেমরি ডেটা-স্টোর ব্যবহার করুন।

যাইহোক, অ-লগ-ইন (অচিহ্নিত) ব্যবহারকারীদের সম্পর্কে কী? আমরা নিশ্চিতভাবে জানি না যে তারা বা কোথায় অনুরোধটি আসছিল ঠিক তাই সেই অনুরোধগুলি সহজেই হার-সীমাবদ্ধ করতে পারে না বা ..?

এডাব্লুএস এবং অন্যান্য হোস্টিং প্ল্যাটফর্মগুলিতে কি এর অন্তর্নির্মিত সমাধানগুলি কি আমাদের উদ্বিগ্ন হওয়া দরকার? মনে হচ্ছে লগ-ব্যবহারকারীদের ম্যানুয়ালি আমাদের রেট-সীমাবদ্ধ যুক্তি পরিচালনা করতে হবে তবে লগ-ইন না করা ব্যবহারকারীদের কী হবে?

আমার অনুমান / আশা এই যে হোস্টিং প্ল্যাটফর্মগুলিতে অ-অনুমোদনপ্রাপ্ত অনুরোধগুলি রেট-সীমাবদ্ধ করার জন্য কিছু বিল্ট-ইন মেকানিজম থাকতে পারে, দয়া করে আমাদের সকলকে জানান।

যাইহোক, অ-লগ-ইন (অচিহ্নিত) ব্যবহারকারীদের সম্পর্কে কী? আমরা নিশ্চিতভাবে জানি না যে তারা বা কোথায় অনুরোধটি আসছিল ঠিক তাই সেই অনুরোধগুলি সহজেই হার-সীমাবদ্ধ করতে পারে না বা ..?

আপনি নিতে পারেন এমন বেশ কয়েকটি পন্থা রয়েছে। একটি হ'ল আপনার যুক্তিযুক্ত নির্ভরযোগ্য উত্স শনাক্তকারী প্রয়োজন, উদাহরণস্বরূপ আইপি ঠিকানা। আপনি আইপি ঠিকানার মাধ্যমে সীমাটি রেট করতে পারেন, যাতে একক আপস করা মেশিনে আক্রমণ সীমিত হয়ে যায়। এটি একটি দুর্দান্ত সরল পদ্ধতি, তবে একটি অসুবিধা আছে যে বৃহত নেটওয়ার্ক সরবরাহকারীরা কেবল নাটের পিছনে থাকা খুব বেশি সংখ্যক ব্যবহারকারীকে আড়াল করতে কেবল একক বহির্গামী আইপি ঠিকানাগুলি ব্যবহার করতে পারে।

আপনি গ্রহণ করতে পারেন সীমাবদ্ধ করার জন্য অন্য পদ্ধতির জন্য কোনও অনাকাঙ্খিত অনুরোধের জন্য কাজের প্রমাণ প্রয়োজন । আপনার সার্ভারটি একটি চ্যালেঞ্জ কোড জারি করেছে যে কোনও ক্লায়েন্টকে অননুমোদিত অনুরোধ করা (যেমন লগইন অনুরোধগুলি) অনুরোধটি প্রক্রিয়া করার আগে একটি সংস্থান নিবিড় প্রতিক্রিয়া গণনা করতে হবে। এই ধারণার একটি সাধারণ প্রয়োগের জন্য ক্লায়েন্টদের আংশিক হ্যাশ বিপর্যয় গণনা করা প্রয়োজন।

কোনও অনুরোধ প্রমাণীকৃত ব্যবহারকারীর কাছ থেকে বা বেনামে ব্যবহারকারীর কাছ থেকে এসেছে কিনা তা জানতে, আপনাকে অবশ্যই অনুরোধটি প্রক্রিয়া করতে হবে (তবুও দ্রুত)। এর অর্থ এখনও আপনার অ্যাপ্লিকেশনটি পরিষেবা আক্রমণকে অস্বীকার করার পক্ষে ঝুঁকির মধ্যে রয়েছে।

আপনার প্রতি সেকেন্ডে সামগ্রিক অনুরোধগুলি যাচাই করা উচিত এবং যদি একটি নির্দিষ্ট নম্বর অতিক্রম করা হয়, তবে আপনি কেবল বাকীটিকে উপেক্ষা করবেন। স্বাভাবিক ক্রিয়াকলাপের সময় সমস্যা না হওয়ার জন্য এই সংখ্যাটি যথেষ্ট পরিমাণে হওয়া উচিত, তবে এই ধরনের আক্রমণ থেকে রক্ষা করা উচিত।

এছাড়াও, একটি সাধারণ নিয়ম হিসাবে, আপনার সম্ভবত ধরে নেওয়া উচিত নয় যে কোনও আক্রমণ কোনও প্রামাণিক ব্যবহারকারীর কাছ থেকে আসে নি, কমপক্ষে কীভাবে ডস আক্রমণের বিষয়ে উদ্বেগ প্রকাশ করে for একটি দুর্বল পাসওয়ার্ড সহজেই কাউকে কোনও পুরানো ব্যবহারকারীর পরিচয় অনুমান করতে দেয়। সুতরাং ধরুন আপনি যদি এই ধরনের একটি চেক করতে পারেন তবে আপনার (মানব) ব্যবহারকারীদের কখনও এই জাতীয় হারের জন্য অনুরোধ করা উচিত নয় কেবল আপনার অনেক ব্যক্তিগত ব্যবহারকারী রয়েছে বলেই প্রতিরোধ না করে।

ক্লাউডফ্লেয়ারের অন্যতম প্রধান অফার হল আপনার এপিআই / ওয়েব সার্ভারের জন্য বুদ্ধিমান প্রক্সি সরবরাহ করে পরিষেবা আক্রমণ অস্বীকারের বিরুদ্ধে সুরক্ষা। প্রাথমিক পরিষেবা নিখরচায়; তারা অন্যান্য সম্পর্কিত পরিষেবাদি যেমন সিডিএন পরিষেবা এবং লোড ব্যালেন্সিং থেকে অর্থোপার্জন করে। তারা আরও পরিশীলিত এবং নিয়ন্ত্রনযোগ্য হার সীমাবদ্ধকরণ পরিষেবাগুলি সরবরাহ করে, বর্তমানে প্রতি 10 কে ভাল অনুরোধের জন্য .05 মার্কিন ডলার (প্রত্যাখাত অনুরোধগুলির জন্য কোনও চার্জ নেই), তবে আপনাকে একাধিক বৈশ্বিক নিয়ম পাওয়ার জন্য অর্থপ্রদানের পরিকল্পনায় আপগ্রেড করতে হবে।

আপনি আপনার ডোমেনের নাম সার্ভারগুলিতে যতক্ষণ নিয়ন্ত্রণ রাখতে পারেন ততক্ষণ আপনি এইডাব্লুএস বা অন্য কোনও প্ল্যাটফর্মের সাথে ক্লাউডফ্লেয়ারের পরিষেবাটি ব্যবহার করতে পারেন (যেমন আপনি নিজের ডোমেনের জন্য নিবন্ধিত নাম সার্ভারগুলি পরিবর্তন করতে পারেন)।

আপনি লগ-ইন করা ব্যবহারকারীদের বিভিন্ন ইউআরএলকে নির্দেশ করে বেনামে এবং লগ-ইন করা ব্যবহারকারীদের জন্য পৃথক হার সীমা সরবরাহ করতে পারেন। উদাহরণস্বরূপ, আপনি সর্বদা প্রমাণীকরণের প্রয়োজন হয় এবং একটি আলাদা হারের সীমা থাকে এমন একটি এন্ডপয়েন্ট তৈরি করতে আপনার সমস্ত বেনামে উপলভ্য ইউআরএল পাথগুলি '/ u' দিয়ে সহজেই উপসর্গ করতে পারেন।

নোট করুন যে ক্লাউডফ্লেয়ারের হার সীমাবদ্ধকরণ (বেনামে থাকা ব্যবহারকারীদের জন্য সীমাবদ্ধ সমস্ত বাণিজ্যিক হারের মতো) এর আইপি ঠিকানার মাধ্যমে ক্লায়েন্টকে সংজ্ঞায়িত করে। এটি বাণিজ্যিক ভিপিএন বা টর ব্যবহার করে এমন লোকদের সমস্যার কারণ হতে পারে, যেহেতু তারা যুক্ত গোপনীয়তার জন্য 1 আইপি ঠিকানার পিছনে বিপুল সংখ্যক ক্লায়েন্টকে আড়াল করে।

এডাব্লুএসে, অ্যাডাব্লুএস শিল্ড এবং এডাব্লুএস ডাব্লুএফ সম্পর্কিত সম্পর্কিত পরিষেবা রয়েছে । এগুলি মূলত ডিডোএস আক্রমণ প্রতিরোধ করার উদ্দেশ্যে তৈরি হয়েছে তবে আইপি অ্যাড্রেসের ভিত্তিতে রেট-সীমাবদ্ধকরণের জন্য সমর্থনও সরবরাহ করে।

ডাব্লুএএফ -তে ধারণাটিকে রেট-বেসড বিধি বলা হয় । ব্রুটে-ফোর্স ভিত্তিক লগইন প্রচেষ্টা প্রতিরোধ করা মূল ঘোষণায় ব্যবহারের ক্ষেত্রে হিসাবে উল্লেখ করা হয় :

এই নতুন নিয়মের ধরণ গ্রাহক ওয়েবসাইট এবং এপিআইগুলিকে ওয়েব-লেয়ার ডিডোএস আক্রমণ, ব্রুট ফোর্স লগইন প্রচেষ্টা এবং খারাপ বটসের মতো হুমকি থেকে রক্ষা করে। যখন কোনও ক্লায়েন্টের ওয়েব অনুরোধগুলি একটি নির্দিষ্ট কনফিগারযোগ্য থ্রেশহোল্ডকে অতিক্রম করে তখন রেট ভিত্তিক বিধিগুলি স্বয়ংক্রিয়ভাবে ট্রিগার হয়।

অন্যান্য মেঘ সরবরাহকারীদের অনুরূপ অফার থাকা উচিত। এখানে, একটি সারণী তুলনা: গুগল ক্লাউড আর্মার বনাম এডাব্লুএস ডাব্লুএফএফ বনাম ক্লাউডফ্লেয়ার ডাব্লুএফএফ ।

আপনি ইতিমধ্যে Nginx ব্যবহার করছেন, অন্তর্নির্মিত আইপি ভিত্তিক হার-সীমাবদ্ধতা ব্যবহার করা সহজ বিকল্পও হতে পারে। মডিউলটিকে ngx_http_limit_req_module বলা হয় । এই ব্লগ পোস্টটি এটি কীভাবে ব্যবহার করা যায় তা বর্ণনা করে।

দয়া করে নোট করুন আইপি ভিত্তিক হার সীমাবদ্ধতা তুলনামূলক সহজ ধারণা তবে এটি নিখুঁত নয়:

• আইপি ঠিকানাগুলি ভাগ করা হতে পারে (একই অফিসে কাজ করা লোক) মিথ্যা ইতিবাচক দিকে পরিচালিত করে
• কোনও আক্রমণকারীর একাধিক আইপি অ্যাড্রেসে সহজেই অ্যাক্সেস থাকতে পারে এবং সীমাগুলি বাইপাস করতে তাদের ব্যবহার করা হয় (ব্রেস্ট-ফোর্স লগইন আক্রমণ বিতরণ করা হয়)

সাধারণভাবে, আইপি অ্যাড্রেসগুলি একটি ভাল শুরু। তবে যদি আপনার আরও শক্তিশালী সুরক্ষা প্রয়োজন হয় তবে আপনার সেরা পছন্দগুলি আপনার থ্রেড মডেলের উপর নির্ভর করবে (আপনি কী ধরণের আক্রমণ প্রতিরোধ করতে চান)।