Rate limit không có - dễ bị DDoS chính chủ

1 user spam 1000 request/phút… mà system vẫn gồng.

Không rate limit, hệ thống như cánh cửa không khóa: bất kỳ ai (hoặc bug client) cũng có thể spam request, làm server quá tải, thậm chí crash.

Khi server không có rate limit mà gặp bot spam.

Thiếu lớp bảo vệ

Vấn đề:
  • Một user (hoặc bot) gửi hàng ngàn request, làm hệ thống chậm.
  • Bug ở client gọi API liên tục, gây overload.
  • Không có cơ chế chặn abuse từ IP hoặc user cụ thể.

Giải pháp: Áp dụng rate limit

Để bảo vệ:
  • Rate limit theo IP/user: Giới hạn số request/phút (ví dụ: 100 request/IP).
  • Dùng token bucket: Thư viện như express-rate-limit hoặc tích hợp Cloudflare/AWS WAF.
  • Monitor và alert: Theo dõi số request bất thường, gửi alert nếu vượt ngưỡng.

Ví dụ: API /login giới hạn 5 request/phút/user để tránh brute force.

🎯 Tóm lại: Rate limit là “bảo vệ” đầu tiên chống DDoS. Áp dụng ngay để hệ thống không bị “đánh gục” bởi chính user.

Post a Comment

Mới hơn Cũ hơn