Rate limiting na app ou proxy reverso pode limitar o volume de requisições por IP ou chave. Ajuda em ataques de camada de aplicação; para ataques volumétricos é preciso scrubbing a montante. Combine com WAF e proteção DDoS.
Ataques de camada de aplicação
- O que são: Alto volume de requisições HTTP(S) aparentemente válidas (ex.: muitos GET/POST a endpoints caros). Objetivo é esgotar app, DB ou banda.
- Rate limiting: Limite requisições por IP, por chave de API ou por usuário. Na app (middleware) ou no proxy reverso/borda. Retorna 429 quando passar do limite; atrasa ou bloqueia o atacante e permite usuários legítimos (dentro do limite).
- Ajuste: Defina limites altos o suficiente para usuários reais e baixos o suficiente para limitar abuso. Use níveis (ex.: anônimo vs autenticado). Combine com regras WAF.
Ataques volumétricos
- O que são: Enchentes de tráfego enormes (ex.: UDP, SYN ou amplificados). Objetivo é saturar seu link ou o do provedor. Rate limiting na app não resolve—o tráfego nem chega ao servidor ou satura o link.
- Scrubbing a montante: Você precisa que o provedor ou um serviço de mitigação DDoS limpe o tráfego antes de chegar a você. Eles absorvem ou filtram a enxurrada e encaminham só tráfego legítimo.
- Plano: Saiba se seu host inclui mitigação DDoS e qual o processo (automático vs sob demanda). Tenha contato e runbook.
Combinar camadas
- Borda/WAF: Bloqueie ou limite na borda (CDN, WAF, load balancer).
- App: Limites por usuário ou chave; proteja endpoints caros e auth. Retorne 429 e Retry-After.
- Rede: Conte com o provedor ou serviço DDoS para ataques volumétricos.
Resumo
Rate limiting ajuda em DDoS de camada de aplicação; limite requisições por IP/chave na app ou proxy. Para ataques volumétricos é preciso scrubbing a montante. Combine com WAF e tenha plano de resposta a DDoS.
