1 user spam 1000 request/phút… mà system vẫn gồng.
Không rate limit, hệ thống như cánh cửa không khóa: bất kỳ ai (hoặc bug client) cũng có thể spam request, làm server quá tải, thậm chí crash.
![]() |
Khi server không có rate limit mà gặp bot spam. |
Thiếu lớp bảo vệ
Vấn đề:
- Một user (hoặc bot) gửi hàng ngàn request, làm hệ thống chậm.
- Bug ở client gọi API liên tục, gây overload.
- Không có cơ chế chặn abuse từ IP hoặc user cụ thể.
Giải pháp: Áp dụng rate limit
Để bảo vệ:
- Rate limit theo IP/user: Giới hạn số request/phút (ví dụ: 100 request/IP).
- Dùng token bucket: Thư viện như express-rate-limit hoặc tích hợp Cloudflare/AWS WAF.
- Monitor và alert: Theo dõi số request bất thường, gửi alert nếu vượt ngưỡng.
Ví dụ: API /login giới hạn 5 request/phút/user để tránh brute force.
🎯 Tóm lại: Rate limit là “bảo vệ” đầu tiên chống DDoS. Áp dụng ngay để hệ thống không bị “đánh gục” bởi chính user.
Đăng nhận xét