Rate limiting en la app o proxy reverso puede limitar el volumen de peticiones por IP o clave. Ayuda en ataques de capa de aplicación; para ataques volumétricos hace falta scrubbing aguas arriba. Combine con WAF y protección DDoS.
Ataques de capa de aplicación
- Qué son: Alto volumen de peticiones HTTP(S) aparentemente válidas (ej. muchos GET/POST a endpoints costosos). El objetivo es agotar app, BD o ancho de banda.
- Rate limiting: Limite peticiones por IP, por clave de API o por usuario. En la app (middleware) o en el proxy reverso/borde. Devuelve 429 cuando se supere el límite; ralentiza o bloquea al atacante y permite usuarios legítimos (dentro del límite).
- Ajuste: Defina límites lo bastante altos para usuarios reales y lo bastante bajos para limitar abuso. Use niveles (ej. anónimo vs autenticado). Combine con reglas WAF.
Ataques volumétricos
- Qué son: Inundaciones de tráfico enormes (ej. UDP, SYN o amplificados). El objetivo es saturar su enlace o el del proveedor. El rate limiting en la app no ayuda—el tráfico no llega al servidor o satura el enlace.
- Scrubbing aguas arriba: Necesita que el proveedor o un servicio de mitigación DDoS limpie el tráfico antes de llegar a usted. Ellos absorben o filtran la inundación y reenvían solo tráfico legítimo.
- Plan: Sepa si su host incluye mitigación DDoS y cuál es el proceso (automático vs bajo demanda). Tenga contacto y runbook.
Combinar capas
- Borde/WAF: Bloquee o limite en el borde (CDN, WAF, balanceador).
- App: Límites por usuario o clave; proteja endpoints costosos y auth. Devuelva 429 y Retry-After.
- Red: Cuente con el proveedor o servicio DDoS para ataques volumétricos.
Resumen
Rate limiting ayuda en DDoS de capa de aplicación; limite peticiones por IP/clave en app o proxy. Para ataques volumétricos hace falta scrubbing aguas arriba. Combine con WAF y tenga plan de respuesta a DDoS.
