Limitación de Velocidad
Quick Definition
Una técnica para controlar la tasa de peticiones que un usuario puede hacer a una aplicación, protegiendo contra abuso y ataques de fuerza bruta.
¿Qué es Limitación de Velocidad?
La limitación de velocidad es una técnica de seguridad y gestión de recursos que controla cuántas peticiones un usuario, dirección IP o clave API puede hacer dentro de una ventana de tiempo específica. Es esencial para prevenir abuso, proteger contra ataques de fuerza bruta y asegurar una asignación justa de recursos.
Estrategias comunes de limitación de velocidad incluyen:
- Ventana fija: Recuento simple que se reinicia en intervalos fijos (ej. 100 peticiones por minuto)
- Ventana deslizante: Ventana de tiempo móvil para limitación más precisa
- Token bucket: Permite ráfagas mientras mantiene la tasa promedio
- Leaky bucket: Procesa peticiones a una tasa fija, encolando el exceso
La limitación de velocidad puede aplicarse basándose en:
- Dirección IP
- Cuenta de usuario o clave API
- Endpoint o ruta URL
- Atributos de petición (encabezados, cookies)
Ejemplos
Un endpoint de login podría tener un límite de velocidad de 5 intentos por minuto por dirección IP. Después de 5 intentos fallidos de login, las peticiones adicionales se bloquean por el resto del minuto, previniendo ataques de contraseña por fuerza bruta.
Preguntas Frecuentes
¿Qué código de estado HTTP debería devolverse al limitar velocidad?
El código de estado HTTP estándar para limitación de velocidad es 429 (Demasiadas Peticiones). La respuesta debería incluir un encabezado Retry-After indicando cuándo el cliente puede reintentar. Muchos WAF también soportan páginas de respuesta personalizadas o redirecciones.