レート制限*非*認証済みリクエスト

レート制限も行うロードバランサーがあるとします。レート制限は、ログインしているユーザーにとっては非常に簡単に思えます。JWTを確認し、メモリ内のデータストアを使用して、そのユーザーの過去10秒間のリクエスト数を確認してください。

ただし、ログインしていない（認証されていない）ユーザーについてはどうですか？誰から、またはどこからリクエストが送信されているのか正確にはわからないため、これらのリクエストを簡単にレート制限することはできません。

AWSや他のホスティングプラットフォームにこれに対する組み込みのソリューションはありますか？ログインしたユーザーのレート制限ロジックを手動で処理する必要があるようですが、ログインしていないユーザーはどうですか？

私の推測/希望は、ホスティングプラットフォームで認証されていないリクエストをレート制限するための組み込みメカニズムがある可能性があることです。すべてお知らせください。

ただし、ログインしていない（認証されていない）ユーザーについてはどうですか？誰から、またはどこからリクエストが送信されているのか正確にはわからないため、これらのリクエストを簡単にレート制限することはできません。

あなたが取ることができるいくつかのアプローチがあります。1つは、適度に信頼できる発信元識別子（IPアドレスなど）が必要なことです。IPアドレスでレート制限を行うことができるため、侵害された単一のマシンへの攻撃が制限されます。これは非常に単純なアプローチですが、大規模なネットワークプロバイダーが単一の送信IPアドレスしか使用できないため、NATの背後に非常に多くのユーザーを隠すことができるという欠点があります。

レート制限のもう1つの方法は、認証されていない要求に対して作業の証明を要求することです。サーバーはチャレンジコードを発行します。認証されていないリクエスト（ログインリクエストなど）を行うクライアントは、リクエストが処理される前にリソースを大量に消費するレスポンスを計算する必要があります。このアイデアの一般的な実装では、クライアントが部分的なハッシュ復元を計算する必要があります。

認証されたユーザーからのリクエストか匿名ユーザーからのリクエストかを知るには、必ずリクエストを処理する必要があります（ただし迅速に）。これは、アプリケーションがサービス拒否攻撃に対して脆弱であることを意味します。

1秒あたりの全体的なリクエストを確認する必要があります。特定の数を超えた場合は、残りを無視するだけです。その数は、通常の機能中に問題を引き起こさないように十分に高くする必要がありますが、そのような攻撃から保護する必要があります。

また、原則として、少なくともDOS攻撃に関しては、認証されたユーザーからの攻撃ではないと想定しないでください。弱いパスワードを使用すると、誰かが古いユーザーの身元を簡単に推測できるようになります。したがって、そのようなチェックを行うことができると仮定すると、（人間の）ユーザーは、多数の個々のユーザーがいるからといって、そのような速度で要求を実行する必要はありません。

Cloudflareの主な製品の 1つは、API / Webサーバーにインテリジェントなプロキシを提供することによるサービス拒否攻撃からの保護です。基本サービスは無料です。彼らは、CDNサービスや負荷分散などの他の関連サービスから収益を得ています。また、より高度で制御可能なレート制限サービスも提供しています。現在のところ、1万件の有効なリクエストごとにUS $ .05のレート（拒否されたリクエストは無料）ですが、有料プランにアップグレードして複数のグローバルルールを取得する必要があります。

ドメインのネームサーバーを制御できる限り、AWSやその他のプラットフォームでCloudflareのサービスを使用できます（ドメインに登録されているネームサーバーを変更できます）。

ログインしているユーザーを異なるURLに誘導することで、匿名ユーザーとログインしているユーザーに別々のレート制限を提供できます。たとえば、匿名で利用できるすべてのURLパスの前に「/ u」を付けるだけで、常に認証を必要とし、レート制限が異なるエンドポイントを作成できます。

Cloudflareのレート制限（私が知っている匿名ユーザーに対するすべての商用レート制限と同様）は、クライアントをIPアドレスで定義することに注意してください。プライバシーを強化するために、1つのIPアドレスの背後に多数のクライアントを隠す傾向があるため、商用VPNまたはTorを使用している人々に問題を引き起こす可能性があります。

AWSには、関連サービスAWS ShieldとAWS WAFがあります。これらは主にDDoS攻撃を防ぐことを目的としていますが、IPアドレスに基づくレート制限もサポートしています。

WAFでは、この概念はレートベースのルールと呼ばれます。総当たりのログイン試行の防止は、最初の発表のユースケースとして言及されています。

この新しいタイプのルールは、顧客のWebサイトとAPIを、WebレイヤーのDDoS攻撃、ブルートフォースログインの試行、悪質なボットなどの脅威から保護します。レートベースのルールは、クライアントからのWebリクエストが特定の設定可能なしきい値を超えると自動的にトリガーされます。

他のクラウドプロバイダーも同様のサービスを提供する必要があります。これが表形式の比較です：Google Cloud Armor対AWS WAF対Cloudflare WAF。

すでにNginxを使用しているため、組み込みのIPベースのレート制限を使用することも簡単なオプションとなる場合があります。モジュールはngx_http_limit_req_moduleと呼ばれます。このブログ投稿では、その使用方法について説明しています。

IPベースのレート制限は比較的単純な概念ですが、完全ではないことに注意してください。

• IPアドレスが共有されている可能性（同じオフィスで働いている人々）が誤検知につながる
• 攻撃者は複数のIPアドレスに簡単にアクセスでき、それらを使用して制限を回避する可能性があります（分散型ブルートフォースログイン攻撃）

一般に、IPアドレスが適切な出発点です。ただし、より強力な保護が必要な場合、最適な選択はスレッドモデル（どの種類の攻撃を防止するか）によって異なります。