Ограничение скорости

Ограничение скорости передачи данных на сетевых контроллерах.

В компьютерных сетях ограничение скорости используется для управления скоростью запросов, отправляемых или получаемых контроллером сетевого интерфейса . Его можно использовать для предотвращения DoS-атак ^[1] ​​и ограничения веб-скрапинга . ^[2]

Исследования показывают, что скорость флуда для одной машины-зомби превышает 20 HTTP GET-запросов в секунду, ^[3] законные показатели намного меньше.

Аппаратные средства

Аппаратные устройства могут ограничивать скорость запросов на уровне 4 или 5 модели OSI .

Ограничение скорости может быть вызвано стеком сетевых протоколов отправителя из-за полученного пакета с маркировкой ECN , а также сетевым планировщиком любого маршрутизатора на пути.

Хотя аппаратное устройство может ограничить скорость для заданного диапазона IP-адресов на уровне 4, оно рискует заблокировать сеть со многими пользователями, которые замаскированы NAT с одним IP-адресом интернет - провайдера .

Глубокую проверку пакетов можно использовать для фильтрации на уровне сеанса, но она эффективно отключит протоколы шифрования, такие как TLS и SSL, между устройством и сервером протоколов (т. е. веб-сервером).

Серверы протоколов

Серверы протоколов, использующие модель запроса/ответа, такие как FTP-серверы или обычно веб-серверы, могут использовать центральную базу данных «ключ-значение» в памяти , например Redis или Aerospike , для управления сеансами. Алгоритм ограничения скорости используется для проверки необходимости ограничения сеанса пользователя (или IP-адреса) на основе информации в кэше сеанса.

Если клиент сделал слишком много запросов в течение определенного периода времени, HTTP- серверы могут ответить кодом состояния 429: Too Many Requests .

Однако в некоторых случаях (например, веб-серверы) алгоритм управления сеансами и ограничения скорости должен быть встроен в приложение (используемое для динамического контента), работающее на веб-сервере, а не в сам веб-сервер.

Когда сервер протокола или сетевое устройство замечают, что настроенный лимит запросов достигнут, он выгружает новые запросы и не отвечает на них. Иногда их можно добавить в очередь для обработки, как только скорость ввода достигнет приемлемого уровня, но в часы пик скорость запросов может даже превышать пропускную способность таких очередей, и запросы приходится отбрасывать.

Дата-центры

Центры обработки данных широко используют ограничение скорости для контроля доли ресурсов, предоставляемых различным арендаторам и приложениям в соответствии с их соглашением об уровне обслуживания. ^[4] В центрах обработки данных применяются различные методы ограничения скорости с использованием программного и аппаратного обеспечения. Виртуализированные центры обработки данных также могут применять ограничение скорости на уровне гипервизора. Двумя важными показателями производительности ограничителей скорости в центрах обработки данных являются объем ресурсов (загрузка памяти и ЦП), который определяет масштабируемость и точность. Обычно существует компромисс: более высокая точность может быть достигнута за счет выделения большего количества ресурсов ограничителям скорости. Значительный объем исследований с упором на повышение производительности ограничения скорости в центрах обработки данных. ^[4]

Смотрите также

• Управление пропускной способностью
• Регулирование пропускной способности
• Проект Щит

Алгоритмы

• Ведро жетонов ^[5]
• Дырявое ведро
• Фиксированный счетчик окон ^[5]
• Раздвижное окно-бревно ^[5]
• Счетчик раздвижного окна ^[5]

Библиотеки

• Ограничитель скорости веб-API ASP.NET
• Промежуточное программное обеспечение ASP.NET Core, ограничивающее скорость
• Ограничение скорости для .NET (библиотека PCL)
• Ограничение скорости для Node.JS

Рекомендации

1. Ричард А. Дил (22 сентября 2004 г.). «Безопасность межсетевого экрана маршрутизатора Cisco: защита от DoS» . Проверено 16 апреля 2017 г.
2. Гринберг, Энди. «Абсурдная базовая ошибка, позволяющая любому захватить все данные Парлера». Проводной . № 12 января 2021 г. Проверено 12 января 2021 г.
3. Цзинхе Джин, Назаров Нодир, Чаэтэ Им, Сын Ёб Нам, «Снижение риска атак HTTP GET Flooding с помощью модифицированного эталонного маршрутизатора NetFPGA», 7 ноября 2014 г., стр. 1, дата обращения 19 декабря 2021 г.
4. М. Нурмохаммадпур, К.С. Рагхавендра, «Управление трафиком в центре обработки данных: понимание методов и компромиссов», Обзоры и учебные пособия IEEE Communications, том. ПП, нет. 99, стр. 1-1.
5. Никрад Махди (12 апреля 2017 г.). «Альтернативный подход к ограничению ставок» . Проверено 16 апреля 2017 г.