Reakciók skálája HTTP kérésekre (0–10)
0 — Kiszolgálom a kérést
- Normál 200/301/304 válasz
- Nincs extra mérés, nincs throttle
- “Ez egy sima user”
Mikor?
Low risk, jó UX.
1 — Logolás + megfigyelés
- Csak naplózod / taggeled:
suspect=1
- Még nem lassítasz, nem blokkolsz
Nagyfiúk így: “observe-only mode”
2 — Soft rate limit (enyhe)
- Kicsit fékezel: pl. 60 req/perc/IP
- Túllépésnél 429 Too Many Requests
- Nincs durva büntetés, csak lassítás
Cél: ne tudd “DDOS-szerűen” crawlolni a site-ot.
3 — Soft delay / jitter
- Minden kérésre raksz 100–500ms késleltetést (vagy csak gyanúsra)
- Néha random jittert is
- A botok szenvednek, a legit user alig érzi
Nagyfiúk így: “tarpit light”
4 — Szelektív korlátozás (csak érzékeny endpointokra)
-
Pl. kereső, login, sitemap, export, árlista, API, termékoldalak:
- limit / cache-only / tiltás
-
A home page még mehet
Tipikus: “protect the expensive pages”
5 — “Serve but degrade” (védett tartalom)
Nagyfiúk így: “graceful degradation”
6 — Challenge (emberteszt)
- JS challenge / cookie challenge / proof-of-work
- CAPTCHA is ide tartozik (bár azt a nagyfiúk már óvatosan)
- Addig nem kapsz rendes tartalmat, amíg “nem bizonyítasz”
Cloudflare logika: “Managed Challenge”
7 — Temporary block HTTP szinten
- 403 Forbidden / 401 / 451 (ritkán)
- vagy Nginx-nél 444 (kapcsolat bontás válasz nélkül)
- időzítve: 10 perc, 1 óra, 24 óra
Nagyfiúk így: “block for N minutes”
8 — IP reputation / ASN alapú deny a peremen
Tipikus: “edge deny”
9 — Blackhole / sinkhole jelleg
Nagyfiúk így: “tarpit hard / greyhole”
10 — Linux tűzfalban eldobod a TCP csomagot (DROP)
iptables/nftables DROP- vagy route blackhole
- nincs HTTP válasz, nincs handshake tovább
- full “kibelezés” IP/CIDR alapján
Ez a hardcore.
Hatása: olcsó neked, brutál a támadónak.
Extra: a “nagyfiúk” 2 kedvenc trükkje (amit érdemes átvenni)
✅ Pontozás → lépcsőzetes reakció
Nem azonnal tilt, hanem:
- 0–3: log + enyhe limit
- 4–6: delay + endpoint védelem
- 7–8: challenge / ideiglenes tiltás
- 9–10: edge/firewall drop
✅ “Bizonyíts” mechanizmus
A legtöbb modern WAF ezt csinálja:
- ha legit: átmegy “1 próbából”
- ha bot: elakad a challenge-en és magától kihullik
Reakciók skálája HTTP kérésekre (0–10)
0 — Kiszolgálom a kérést
Mikor?
Low risk, jó UX.
1 — Logolás + megfigyelés
suspect=1Nagyfiúk így: “observe-only mode”
2 — Soft rate limit (enyhe)
Cél: ne tudd “DDOS-szerűen” crawlolni a site-ot.
3 — Soft delay / jitter
Nagyfiúk így: “tarpit light”
4 — Szelektív korlátozás (csak érzékeny endpointokra)
Pl. kereső, login, sitemap, export, árlista, API, termékoldalak:
A home page még mehet
Tipikus: “protect the expensive pages”
5 — “Serve but degrade” (védett tartalom)
Kiszolgálod, de:
SEO botoknál néha külön policy
Nagyfiúk így: “graceful degradation”
6 — Challenge (emberteszt)
Cloudflare logika: “Managed Challenge”
7 — Temporary block HTTP szinten
Nagyfiúk így: “block for N minutes”
8 — IP reputation / ASN alapú deny a peremen
Nem is engeded be az originig
Blokk:
Hatékony, olcsó, gyors
Tipikus: “edge deny”
9 — Blackhole / sinkhole jelleg
TCP szinten “furán” viselkedsz:
Cél: bot erőforrást pazaroljon, ne te
Nagyfiúk így: “tarpit hard / greyhole”
10 — Linux tűzfalban eldobod a TCP csomagot (DROP)
iptables/nftables DROPEz a hardcore.
Hatása: olcsó neked, brutál a támadónak.
Extra: a “nagyfiúk” 2 kedvenc trükkje (amit érdemes átvenni)
✅ Pontozás → lépcsőzetes reakció
Nem azonnal tilt, hanem:
✅ “Bizonyíts” mechanizmus
A legtöbb modern WAF ezt csinálja: