Re: Доработка limit_req

[Maxim Dounin]

Hello!

On Mon, Oct 24, 2011 at 12:34:17PM +0400, Михаил Монашёв wrote:

> Здравствуйте.
> 
> Иногда возникает задача блокировать кого-то, кто чересчур часто что-то
> с  сайта  запрашивает.  Сейчас  можно  ограничить  его  по  количеству
> запросов  в  единицу  времени. Но запросы, которые вписываются в лимит
> будут  проходить.  Но  это не совсем то, что иногда нужно. Иногда надо
> заблокировать  до  тех  пор,  пока  количество запросов не снизится до
> установленного лимита. И это легко могло бы решаться, если у limit_req
> добавить  параметр, который заставлял бы сохранять информацию о каждом
> запросе, а не только о том, который вписывается в установленный лимит.

(just for history)

В общем случае "сохранять информацию о каждом запросе" - нельзя, 
ибо это даст возможность заблокировать лимитируемый параметр 
практически навечно.  E.g. evil hacker запрашивает ip под DHCP у 
какого-нибудь stream'а, делает N (или M) запросов, запрашивает 
следующий ip, ...  В результате со стрима ни у кого твой сайт не 
работает.  Или ещё хуже: у хостера стоит лимит запросов на домен, 
и тебе на этот сайт наливают M**2 запросов - сайт заблокирован на 
неизвестное время.

Какой-то механизм, обеспечивающий контролируемый гистерезис - 
наверное нужен.  Я исходно хотел сделать помимо параметра burst= 
ещё и какой-то параметр <считать-до>=, но хорошего названия так и 
не придумалось, да и руки не дошли.

Возможно, альтернативным вариантом будет некая дополнительная 
таблица блокировки, в которую "нехорошие люди" будут заносится на 
заданное время при превышении лимита (её же можно будет 
использовать при превышении других ограничений, а равно при просто 
при выполнении определённых условий).  Тут надо ещё подумать.

Maxim Dounin