Nội dung bài viết
Video học lập trình mỗi ngày
Sau một loạt bài viết về series - Con đường trở thành kiến trúc sư đến nay thì tôi thấy lượt truy cập chỉ bằng 1/3 so với các bài viết về đề tài khác. Nhưng không sao, 1/3 đó là những bạn đã có tay nghề và có thể nói chuyên về backend giống như tôi. Và để đi trên con đường đó bạn phải trang bị cho mình nhiều vũ khí cũng như là phòng thủ để đảm bảo rằng, bạn đang là người được chọn để bảo vệ cho Doanh Nghiệp thuê bạn. Và để tiếp tục thì bài viết này sẽ đề cập tới một hướng dẫn giúp bạn hạn chế được những phần tử chọc ngoáy sâu xa hơn nữa là tránh từ xa những cuộc tấn công DDoS.
Có thể bạn sẽ tìm những bài viết này trong tương lai, và sự thật là rất ít người viết về đề tài này. Và tôi là trong số ấy.
Vì sao phải giới hạn request?
Đầu tiên để tôi nói về một bài viết mà anh ấy đã hack thành công mật khẩu của instagram. Nó không phải là điều mới mẻ, do anh sử dụng request liên tục để nhằm lấy mã OTP khi sử dụng dịch vụ quên pass thông qua SMS. Bạn có thể đọc nó, nhưng không dễ như tiêu đề của bài viết. 
Chính vì vậy, giới hạn request của người dùng cũng được sử dụng cho mục đích bảo mật, như ví dụ trên là phải ngăn chặn lượng request liên tục nhằm phán đoán. Ngoài ra nó có thể giúp bảo vệ chống lại các cuộc tấn công DDoS bằng cách giới hạn tỷ lệ yêu cầu đến url nào đó, và từ đó mình cũng xác định được mục tiêu URL nào được nhắm đến.
Nói chung, chúng ta làm dưới hệ thống nhiệm vụ của chúng ta là phải ngăn chặn những điều đó xảy ra. Sơ sơ vậy thôi.
Node.js limit concurrent requests
Có nhiều cách để phòng chống điều này, 2 trong số cách phổ biến đó là sử dụng balancer và middleware. Ở bài viết này, chúng ta sẽ tìm hiểu cách chống nhiều request ở middleware. Ở bài trước tôi cũng đã nói về balancer nên ở đây sẽ không đề cập đến.
Hiện tại thì nếu bạn sử dụng middleware thì có hai package có thể hỗ trợ chúng ta trong việc này đó là rate-limiter-flexible package và express-rate-limiter cho Express.js applications.
Sử dụng Node.js app với rate-limiter-flexible
Và đây là ví dụ thực tế khi sử dụng rate-limiter-flexible;
const http = require('http');
const redis = require('redis');
const { RateLimiterRedis } = require('rate-limiter-flexible');
const redisClient = redis.createClient({
enable_offline_queue: false,
});
// Tối đa 20 requests trong mỗi giây
const rateLimiter = new RateLimiterRedis({
storeClient: redisClient,
points: 20,
duration: 1,
blockDuration: 2, // Nếu xảy ra thì block 2 giây, tuỳ thuộc các bạn.
});
http.createServer(async (req, res) => {
try {
const rateLimiterRes = await rateLimiter.consume(req.socket.remoteAddress);
// Some app logic here
res.writeHead(200);
res.end();
} catch {
res.writeHead(429);
res.end('Too Many Requests');
}
})
.listen(3000);
Bạn có thể đọc thêm tài liệu và trường hợp sử dụng tại đây.
Express rate limiting
express-rate-limiter nhớ install.
const RateLimit = require('express-rate-limit');
const apiLimiter = new RateLimit({
windowMs: 15*60*1000, // 15 minutes
max: 100,
});
// Chỉ áp dụng cho routes user, nếu bạn muốn.
app.use('/user/', apiLimiter);
Bạn có thể đọc thêm tài liệu và trường hợp sử dụng tại đây.
Ok vậy thôi, không khó, chẳng qua là không biết. Nếu biết mà không làm thì đồ hư đốn.
Happy coding!!!
