Estoy trabajando en un proyecto que necesita acortar las URL a alrededor de ~ 25 caracteres de longitud. Puedo crear identificadores crípticos que se asignan a una URL de longitud completa y conservarlos en una base de datos. Mi única preocupación es cómo puedo evitar que alguien genere esas identificaciones al azar y bombardee mi servicio.
¿Alguna sugerencia?
Si no necesita un inicio de sesión, la dirección IP es la única forma en que puede limitar las solicitudes. Si requiere o permite inicios de sesión, también puede restringir por cuenta. Es común, por ejemplo, restringir el número de llamadas a un servicio en un período determinado (hora, día), especialmente en un nivel gratuito, entonces puede dar una opción de tarifa más alta para cuentas pagadas.
Es probable que también desee tener un monitor de servicio completo en ejecución para que pueda detectar picos inusuales en las solicitudes a través de múltiples direcciones IP. Esto es típico de los ataques más astutos que utilizan botnets para que cada IP de origen individual esté operando por debajo del límite.
Podrías requerir prueba de trabajo , al requerir que todas las presentaciones se adjunten con una Prueba de trabajo, una cadena que, cuando se adjunta a la URL original, produce una cadena que, cuando se utiliza el hash, tiene un número específico de ceros binarios. El número de ceros solicitados podría configurarse en función de la carga de su sistema.
Esto funciona para reducir un (D) DOS ataque de contaminar la base de datos con URLs de spam. No protege contra el ataque DDOS volumétrico, lo que aún detendrá su servicio. Para protegerse contra el aspecto volumétrico del DDOS, deberá replicar sus servidores. Necesita un servidor en muchas partes del mundo que verifique que el envío de la URL sea válido (la prueba del trabajo es válido), antes de enviar la solicitud a la base de datos central.
Además, es posible que también desee verificar que la URL expandida exista y sea accesible antes de aceptar el envío, aunque existen razones por las que la URL que podría no ser resuelta para usted podría ser útil para otras personas (por ejemplo, enlaces a servicios internos, URL no HTTP).
Realmente no hay nada especial en los servicios de acortamiento de URL en esta situación. Necesitas ver las estrategias tradicionales anti-DDOS.
Esta respuesta contiene un resumen bastante informativo de cómo los sitios principales evitan los ataques de DDOS. El control de acceso basado en IP solo prevendrá contra DOS y eso no puede ayudar si la parte de control de acceso es la que está siendo DDOS.
Resumen: - Comprar gran capacidad de ancho de banda. - Compre una solución WAF o anti-DDOS de buena reputación
Lea otras preguntas en las etiquetas url url-redirection ddos