Rate-Limit in ISPConfig konfigurieren

4

• Scrollen Sie auf dieser Seite nach unten bis zum Abschnitt "Anfragenlimit".

Hinweis: Das Anfragenlimit wird bei einigen vorgefertigten Konfigurationen automatisch eingebunden. Wenn Sie eine individuelle Konfiguration verwenden, muss die Location, in der das Anfragenlimit wirken soll, um die Variable {RATELIMIT} erweitert werden.

Im Abschnitt "Anfragenlimit" finden Sie die nachfolgenden Einstellungsmöglichkeiten.

Anfragenlimit

• Typ: Dropdown-Auswahl
• Standardwert: deaktiviert
• Auswahlmöglichkeiten: deaktiviert, 1r/s, 10r/s, 100r/s, 1000r/s, 2000r/s, 5000r/s

Diese Einstellung definiert, wie viele Anfragen eine einzelne Client-IP-Adresse pro Sekunde an Ihre Website senden darf. Wird das gewählte Limit überschritten, beantwortet der Webserver die überzähligen Anfragen mit dem HTTP-Statuscode 503 (Service Unavailable).

Empfehlungen zur Auswahl:

• 1r/s – Sehr restriktiv. Geeignet für Login-Seiten oder Formulare, bei denen Brute-Force-Schutz im Vordergrund steht.
• 10r/s – Ein guter Ausgangswert für die meisten Websites mit moderatem Traffic.
• 100r/s – Empfehlenswert für Websites mit vielen eingebundenen Ressourcen (Bilder, Skripte, Stylesheets), bei denen ein einzelner Seitenaufruf bereits zahlreiche Anfragen erzeugt.
• 1000r/s bis 5000r/s – Für stark frequentierte Websites oder Anwendungen mit API-Endpunkten, die eine hohe Anfragerate erwarten.

Bedenken Sie: Ein einzelner Seitenaufruf durch einen Besucher erzeugt in der Regel nicht nur eine Anfrage, sondern oft Dutzende – für HTML, CSS, JavaScript, Bilder und weitere eingebettete Ressourcen. Wählen Sie das Limit daher nicht zu niedrig, um reguläre Besucher nicht versehentlich auszusperren.

Burst

• Typ: Dropdown-Auswahl
• Standardwert: deaktiviert
• Auswahlmöglichkeiten: deaktiviert, 1, 5, 10, 20, 50, 100

Der Burst-Wert legt fest, wie viele Anfragen das eingestellte Limit temporär überschreiten dürfen. Dies ist besonders wichtig, um kurze Lastspitzen abzufangen, wie sie typischerweise auftreten, wenn ein Besucher eine Seite aufruft und der Browser gleichzeitig zahlreiche Ressourcen nachlädt.

Beispiel: Sie haben ein Anfragenlimit von 10r/s und einen Burst von 20 konfiguriert. In diesem Fall darf ein Client kurzfristig bis zu 30 Anfragen absenden (10 reguläre + 20 Burst), bevor überzählige Anfragen abgewiesen werden. Die Burst-Anfragen werden jedoch gegen das reguläre Limit "abgearbeitet" – der Burst-Puffer füllt sich also erst wieder auf, wenn die Anfragerate unter das gesetzte Limit fällt.

Empfehlung: Aktivieren Sie den Burst in den meisten Fällen, um zu vermeiden, dass reguläre Besucher bei normaler Nutzung fälschlicherweise blockiert werden. Ein Burst-Wert von 10 bis 20 ist für die meisten Websites ein sinnvoller Ausgangspunkt.

Verzögerung

• Typ: Ein/Aus-Schalter
• Standardwert: Aus

Wenn die Verzögerung aktiviert ist, werden die Anfragen aus dem Burst-Kontingent nicht sofort, sondern verzögert ausgeliefert. Anstatt überschüssige Anfragen direkt abzuweisen, reiht der Server sie in eine Warteschlange ein und bearbeitet sie mit der Rate, die im Anfragenlimit definiert ist.

Ohne Verzögerung: Burst-Anfragen werden sofort bearbeitet, solange der Burst-Puffer nicht erschöpft ist. Danach werden weitere Anfragen abgewiesen.

Mit Verzögerung: Burst-Anfragen werden in die Warteschlange gestellt und nach und nach mit der festgelegten Rate abgearbeitet. Der Client erhält seine Antworten dadurch verzögert, aber dennoch vollständig – statt einer Fehlermeldung.

Empfehlung: Die Verzögerung ist sinnvoll, wenn Sie sicherstellen möchten, dass möglichst keine Anfragen verloren gehen, auch wenn kurzfristig mehr Anfragen eintreffen als erlaubt. Für API-Endpunkte oder Anwendungen, bei denen eine schnelle Rückmeldung wichtiger ist als Vollständigkeit, kann es hingegen vorteilhafter sein, die Verzögerung deaktiviert zu lassen.

IP-Sperrung

• Typ: Ein/Aus-Schalter
• Standardwert: Aus

Wenn Sie die IP-Sperrung aktivieren, werden Client-IP-Adressen, die das eingestellte Anfragenlimit wiederholt überschreiten, automatisch gesperrt. Die gesperrten IP-Adressen werden dabei im Fail2Ban-Jail th-rate-limit-web1 hinterlegt, sodass betroffene IP-Adressen vorübergehend vollständig vom Zugriff auf Ihre Website ausgeschlossen werden.

Bei Aktivierung der IP-Sperrung erscheinen drei weitere Einstellungsfelder.

Überschreitungen

• Typ: Zahleneingabe (ganze Zahlen)

Gibt die Anzahl der Überschreitungen des Limits an, bevor die Client-IP gesperrt wird. Dieses Feld arbeitet zusammen mit dem Zeitfenster: Erst wenn die hier eingestellte Anzahl an Überschreitungen innerhalb des definierten Zeitfensters erreicht wird, erfolgt die Sperrung. Ein höherer Wert ist toleranter gegenüber gelegentlichen Lastspitzen, während ein niedrigerer Wert schneller auf missbräuchliches Verhalten reagiert.

Zeitfenster

• Typ: Zahleneingabe + Einheit (Dropdown)
• Einheiten: Sekunden, Minuten

Definiert das Zeitfenster, in dem die Überschreitungen liegen müssen, bevor die Client-IP gesperrt wird. Erreicht eine IP-Adresse die eingestellte Anzahl an Überschreitungen innerhalb dieses Zeitfensters, wird sie gesperrt.

Beispiel: Bei 50 Überschreitungen und einem Zeitfenster von 4 Minuten wird eine IP-Adresse gesperrt, wenn sie innerhalb von 4 Minuten 50-mal das Anfragenlimit überschreitet.

Sperrdauer

• Typ: Zahleneingabe + Einheit (Dropdown)
• Einheiten: Stunden, Tage, Wochen, Monate, Jahre

Bestimmt die Dauer der Sperrung einer Client-IP. Nach Ablauf der eingestellten Sperrdauer wird die Sperre automatisch aufgehoben und die IP-Adresse kann wieder auf Ihre Website zugreifen.

Empfehlung: Eine Sperrdauer von wenigen Stunden ist für die meisten Anwendungsfälle ein guter Ausgangswert. Bei besonders aggressiven Angriffsmustern können Sie die Dauer auf Tage oder Wochen erhöhen, sollten jedoch bedenken, dass zu lange Sperrzeiten auch legitime Nutzer hinter dynamischen IP-Adressen (z. B. Mobilfunkanschlüsse) betreffen können.

5

Klicken Sie abschließend auf "Speichern", um Ihre Konfiguration zu übernehmen. Das Rate-Limit wird umgehend für Ihre Website wirksam.

Beispiel 1: Basisschutz für eine Standard-Website

• Anfragenlimit: 10r/s
• Burst: 20
• Verzögerung: Aus
• IP-Sperrung: Aus

Dieser einfache Basisschutz begrenzt einzelne IP-Adressen auf 10 Anfragen pro Sekunde mit einem Burst-Puffer von 20. Für die meisten Websites mit moderatem Traffic ein solider Ausgangspunkt.

Beispiel 2: Webshop mit erhöhtem Traffic

• Anfragenlimit: 100r/s
• Burst: 50
• Verzögerung: Ein
• IP-Sperrung: Ein
• Überschreitungen: 50
• Zeitfenster: 4 Minuten
• Sperrdauer: 1 Stunde

Für einen Webshop, bei dem viele gleichzeitige Ressourcenanfragen normal sind, empfiehlt sich ein höheres Limit. Die aktivierte Verzögerung sorgt dafür, dass Anfragen bei kurzen Lastspitzen nicht verloren gehen, während die IP-Sperrung bei anhaltendem Missbrauch greift.

Beispiel 3: Strenger Schutz für eine Login-Seite

• Anfragenlimit: 1r/s
• Burst: 5
• Verzögerung: Aus
• IP-Sperrung: Ein
• Überschreitungen: 10
• Zeitfenster: 1 Minute
• Sperrdauer: 1 Stunde

Für Login-Bereiche, die vor Brute-Force-Angriffen geschützt werden sollen, ist eine restriktive Konfiguration sinnvoll. Bereits nach wenigen Überschreitungen innerhalb einer Minute wird die angreifende IP gesperrt.

Hinweis für individuelle Konfigurationen

Wenn Sie für Ihre Website eine individuelle Nginx-Konfiguration verwenden, wird das Anfragenlimit nicht automatisch eingebunden. In diesem Fall müssen Sie die location-Direktive, in der das Rate-Limit wirken soll, manuell um die Variable {RATELIMIT} erweitern. ISPConfig ersetzt diese Variable beim Generieren der Konfiguration durch die entsprechenden Nginx-Anweisungen.

Wird durch ein Rate-Limit die Performance meiner Website beeinflusst?

Nein, im Gegenteil: Ein sinnvoll konfiguriertes Rate-Limit schützt Ihren Server vor Überlastung und sorgt dafür, dass die verfügbaren Ressourcen gleichmäßig auf alle Besucher verteilt werden.

Was passiert, wenn ein legitimer Besucher das Limit überschreitet?

Der Besucher erhält für die überzähligen Anfragen den HTTP-Statuscode 503. Sobald die Anfragerate wieder unter das gesetzte Limit fällt, werden seine Anfragen wieder normal beantwortet. Ist die Verzögerung aktiviert, werden überschüssige Anfragen stattdessen verzögert bearbeitet. Nutzen Sie den Burst-Puffer, um kurze Lastspitzen bei regulärer Nutzung abzufangen.

Kann ich eine gesperrte IP-Adresse manuell entsperren?

Ja. Gesperrte IP-Adressen werden im Fail2Ban-Jail th-rate-limit-web1 verwaltet. Wenden Sie sich bei Bedarf an den Support, um eine manuelle Entsperrung vornehmen zu lassen.

Welches Anfragenlimit sollte ich wählen?

Das hängt von Ihrer Website ab. Beobachten Sie zunächst, wie viele Anfragen Ihre Website im Normalbetrieb verarbeitet, und wählen Sie ein Limit, das deutlich über diesem Wert liegt. Beginnen Sie im Zweifel mit einem großzügigeren Limit und passen Sie es bei Bedarf schrittweise an.