Есть у меня сайт на ASP.NET MVC. Как лучше сделать, чтобы всякие пользователи и боты не грузили наш сервер, нажимая разные кнопочки почём зря? Делать в логике сайта в контроллерах проверки - что-то типа "этот форум требует 5-секундного перерыва после подобного запроса"? Или в фаерволле сервера как-то ограничить, чтобы с одного айпи не более одного запроса, скажем, в 5 секунд пропускалось? Или ещё как-то?

Если первое, то кажется, что-то слишком много разных таких проверок делать придётся. По сути, логика большинства сайтов состоит более, чем на 50% из одинакового "служебного" кода, как то валидации, проверки, хеширования и прочее. А собственно кода, который пользу пользователю приносит - меньше половины.

Ну, не только кнопочки, но и вообще по прямым ссылкам не вызывая методы контроллеров слишком часто.

Кто-нибудь знает?

1. Предположим, я пишу бота, который все доступные действия ваших контроллеров вызывает по десять раз в секунду. Что вы делаете, чтобы избавить от этого?

2. Тот же бот, что и в случае 1, но уже распределённый и атаку ведёт со многих адресов - ваши действия?

Мы сами у себя хостим - на своём сервере. Я вот и спрашиваю, админ должен в фаерволе настраивать, или в контроллерах сайта городить целую защитную систему? Или и то, и другое?

Я, конечно, понимаю, что лучше везде и всё защитить по-максимуму, но у меня времени немного, поэтому городить собственную систему защиты. Какие есть способы по-быстрому ограничить самые распространённые хулиганства по вышеозначенной проблеме, ну и просто чтобы снизить нагрузку на сервер?

И если можно, дайте, пожалуйста, ссылки на статьи или литературу, посвящённые снижению нагрузки на сайты на ASP.NET MVC. Где бы было написано, как и что ограничивать в контроллерах, что на сервере настраивать и т. д.

Т. е. если я зацикливаю вызов метода(ов) контроллера(ов) сайта-жертвы, то это ДоС (ДДоС) и, как вы говорили, новичку лучше этим не заморачиваться. А если просто юзеры флудят на форуме, то можно каким-нибудь ActionFilter ограничить им действие контроллера (как на форумах пишут "это действие требует ожидания 5 с для выполнения")? Или придётся громоздить подобную защиту в модели?

И ещё такая ситуация. Допустим, юзер выделил кнопку с асинхронным запросом в моём интерфейсе и зажал ввод. Получили ДоС. Как бороться?

Кто-нибудь пытался сделать что-то вроде этого (с учётом комментариев там внизу) http://madskristensen.net/post/Block-DoS-attacks-easily-in-ASPNET.aspx ? Вкратце: он отслеживает, с какого айпи пришло более определённого количества запросов в определённое время, и банит этот айпи на определённое время. Все эти параметры настраиваются.

Ему там про потоковую небезопасность при использовании таймера сказали, но сути метода это не меняет - там же как вариант предложили использовать потоковобезопасное кеширование забаненых айпишников.

Единственное существенное замечание по сути метода я нашёл только в том, что найдутся такие интернет-службы, для которых является обычным обрабатывать десятки запросов в секунду с одного адреса. Ну, тут просто предложение профилировать настройки для разных служб. Для обычного сайта, который не должен выдавать в реальном времени данные по сто раз в секунду, можно, наверное, и единые настройки применить с ограничением в несколько запросов в секунду. Те же поисковики ограничивают свои поисковые боты одним запросом в секунду.

как то так...авторА если просто юзеры флудят на форуме,
http://ru.wikipedia.org/wiki/CAPTCHA
автор вызов метода(ов) контроллера(ов)
это абстракция - лучше говорить запрос к веб-серверу...
Ну, это смотря на каком уровне обработку осуществлять. Я вот выше привёл пример в HttpModule, а можно и попозже.

как то так...авторА если просто юзеры флудят на форуме,
http://ru.wikipedia.org/wiki/CAPTCHA
Ну это-то да, только это, как правило, для незарегистрированных пользователей делают, ибо если для всех сделаешь - тебя посещать перестанут. А зареганых и забанить можно, если они лютовать начнут.

Я вот щас на этом форуме по адресу http://www.sql.ru/forum/afsearch.aspx?s=&submit=%CD%E0%E9%F2%E8&bid=19 зафокусировал поля поиска или кнопку "Поиск" и зажал пробел или ввод - какая-то надпись на синем фоне "Пожалуйста, подождите" замигала. Это что - асинхронный запрос был?

user7320Я вот щас на этом форуме по адресу http://www.sql.ru/forum/afsearch.aspx?s=&submit=%CD%E0%E9%F2%E8&bid=19 зафокусировал поля поиска или кнопку "Поиск" и зажал пробел или ввод - какая-то надпись на синем фоне "Пожалуйста, подождите" замигала. Это что - асинхронный запрос был?
Серверу не больно, когда я так делаю?

AHTOH_Luser7320, только когда баниш IP надо понимать что с одного Ip может очень много народа в инет выходить :)
Лучше сидеть под ДоСом?

AHTOH_Luser7320, только когда баниш IP надо понимать что с одного Ip может очень много народа в инет выходить :)
Там бан автоматом снимается через 5 минут и дальше даётся "ещё один шанс". И так до бесконечности. По идее, должно быть так - админ приходит, видит в логах, что кто-то хулюганит с такого-то адреса, под которым целая сетка сидит, и даёт знать админу той сетки, чтобы он разобрался, а нето его забанят наподольше.

skyANAuser7320пропущено...

Серверу не больно, когда я так делаю?Вам что, слово debouncing лень загуглить? Вот Вам ссылка: микропаттерны оптимизации в Javascript: декораторы функций debouncing и throttling .
Злой дядя может подменить скрипты и снять все ограничения.

как то так...авторКто-нибудь пытался сделать что-то вроде этого
никому это не нужно - разве что тебе! ;)
если идёт огромное количество запросов на сервер, то сервер и должен разбираться (отсекать) нежелательные ип и тд. Твоё микро-приложение с микро-модулем всего-лишь часть большого сервера и нагрузку на сервер из приложения никак не отрегулировать...
Т. е. выкинуть всю подобную защиту с сайта и отдать проблему на решение админу сервера?