حول المحتوى:
شرح خوارزميات التحكم في معدل الطلبات مثل Token Bucket وLeaky Bucket وكيفية تنفيذها.
ما هو Rate Limiting في تصميم الأنظمة وكيف يمنع إساءة استخدام API؟
Rate Limiting Systems أو أنظمة التحكم في معدل الطلبات، تعتبر من أهم الأدوات في تصميم الأنظمة الحديثة، خصوصاً في واجهات البرمجة التطبيقية (APIs) والخدمات الموزعة. الهدف الأساسي منها هو التحكم في عدد الطلبات التي يمكن لمستخدم، أو IP، أو تطبيق معين إرسالها خلال فترة زمنية محددة، لمنع الإساءة وسوء الاستخدام والحفاظ على استقرار النظام.
في هذه المقالة على مدونة افهم صح سنشرح:
- ما هو Rate Limiting ولماذا نحتاجه؟
- كيف يحمي الـ API من الهجمات وإساءة الاستخدام؟
- أشهر خوارزميات Rate Limiting مثل Token Bucket وLeaky Bucket وغيرها.
- أفكار عملية لتنفيذ Rate Limiting في الأنظمة الموزعة.
لمن يريد التعمق أكثر في جانب حماية واجهات API، يمكن الرجوع أيضاً إلى:
- أفضل طرق حماية API من الهجمات: Rate Limiting، Throttling، وSignature Verification
- حماية واجهات API من إساءة الاستخدام: Rate Limiting واستراتيجيات أخرى
- دليل التعامل مع Rate Limiting في API: حماية بدون خنق المستخدمين
ما هو Rate Limiting Systems في تصميم الأنظمة؟
Rate Limiting Systems هي آليات وخوارزميات تُستخدم لتحديد الحد الأقصى لمعدل الطلبات التي يمكن أن يرسلها طرف معين (مستخدم، API Client، IP Address، Token، …) خلال نافذة زمنية مثل ثانية، دقيقة أو ساعة.
مثال بسيط:
- حساب مجاني في منصة API يمكنه تنفيذ 100 طلب في الدقيقة.
- حساب مدفوع يمكنه تنفيذ 1000 طلب في الدقيقة.
إذا حاول أحد المستخدمين تخطي هذا الحد، يقوم النظام برفض الطلبات الزائدة، أو تأجيلها، أو إرجاع خطأ HTTP مثل 429 Too Many Requests.
أين نستخدم Rate Limiting؟
- واجهات API العامة (Public APIs).
- خدمات Microservices في الأنظمة الموزعة Distributed Systems.
- واجهات تسجيل الدخول لمنع محاولات التخمين (Brute Force).
- نقاط التكامل مع أنظمة الدفع، الرسائل، البريد الإلكتروني، إلخ.
لماذا نحتاج Rate Limiting في الأمن السيبراني؟
من منظور الأمن السيبراني، Rate Limiting هو خط دفاع أساسي ضد أنواع كثيرة من الهجمات، خصوصاً تلك التي تعتمد على إرسال عدد هائل من الطلبات خلال وقت قصير.
1. منع هجمات Brute Force وCredential Stuffing
في صفحات تسجيل الدخول أو استرجاع كلمة المرور، قد يحاول المهاجم تجربة آلاف كلمات المرور أو بيانات دخول مسروقة. بدون Rate Limiting يمكنه الاستمرار بحرية حتى يجد تطابقاً.
تطبيق Rate Limiting على:
- عدد محاولات تسجيل الدخول لكل IP في الدقيقة.
- عدد محاولات تسجيل الدخول لكل اسم مستخدم في الساعة.
يُبطّئ هذه الهجمات بشكل كبير، وغالباً يجعلها غير عملية.
2. الحد من إساءة استخدام API
في الـ APIs، يمكن لمستخدم واحد عديم النية أن:
- يستهلك كل موارد الخادم عبر إرسال آلاف الطلبات.
- يتسبب في زيادة التكلفة إذا كان النظام يعتمد على خدمات مدفوعة بعدد الطلبات.
من خلال Rate Limiting Systems يمكن:
- تحديد سقف للطلبات لكل مفتاح API Key.
- تطبيق حدود مختلفة لخُطط الاشتراك (Free / Pro / Enterprise).
3. حماية من هجمات DoS البسيطة
رغم أن Rate Limiting لا يغني عن أنظمة متقدمة لمكافحة هجمات DDoS، إلا أنه يساعد في إيقاف أو تهدئة:
- الهجمات الفردية من IP واحد.
- السكربتات البسيطة التي تعتمد على Flooding للـ API.
4. ضمان عدالة استخدام الموارد (Fair Usage)
من خلال Rate Limiting يمكن ضمان أن:
- لا يحتكر مستخدم واحد كل موارد النظام.
- يستمر باقي المستخدمين في العمل بشكل طبيعي حتى لو أساء أحدهم الاستخدام.
مفاهيم أساسية قبل خوارزميات Rate Limiting
نافذة الزمن (Time Window)
هي الفترة الزمنية التي يتم فيها حساب عدد الطلبات، مثل:
- 10 طلبات في الثانية.
- 100 طلب في الدقيقة.
- 1000 طلب في الساعة.
وحدة التحديد (Key)
الـ Key الذي نربط به معدل الطلبات، ويمكن أن يكون:
- عنوان IP.
- مفتاح API Key.
- Token خاص بالمستخدم.
- Combination مثل: UserID + Endpoint.
الإجراء عند تجاوز الحد
عند كسر الحد المسموح به، النظام يمكن أن:
- يرفض الطلبات ويعيد 429 Too Many Requests.
- يؤجل معالجة الطلب (Throttling).
- يخفض أولوية هذه الطلبات.
خوارزميات Rate Limiting: شرح مبسط
هناك عدة خوارزميات للتحكم في معدل الطلبات، من أشهرها:
- Token Bucket
- Leaky Bucket
- Fixed Window Counter
- Sliding Window
1. خوارزمية Token Bucket
خوارزمية Token Bucket من أكثر خوارزميات Rate Limiting استخداماً، خصوصاً لأنها مرنة وتسمح بقدر من الـ "Burst" (اندفاع مفاجئ في عدد الطلبات) ضمن حد معين.
الفكرة الأساسية
- نتخيل وجود دلو (Bucket) يمكنه احتواء عدد معين من الـ Tokens، مثلاً 100 Token.
- يتم تعبئة الدلو بالـ Tokens بمعدل معين، مثلاً 10 Tokens في الثانية، حتى يصل للحد الأقصى.
- كل طلب جديد يستهلك Token واحد من الدلو.
- إذا كان الدلو يحتوي على Tokens كافية → يُسمح بالطلب.
- إذا كان الدلو فارغاً → يتم رفض الطلب أو تأجيله.
ماذا يميز Token Bucket؟
- يسمح بعدد أكبر من الطلبات في وقت قصير (Burst)، طالما تم تجميع Tokens مسبقاً.
- يُحافظ على معدل متوسط ثابت على المدى الطويل.
كيف يمكن تنفيذه عملياً؟ (منطق مبسط)
عند كل طلب:
- نحسب الوقت منذ آخر تحديث للدلو.
- نضيف Tokens جديدة حسب هذا الوقت (rate × elapsed_time)، مع عدم تجاوز السعة القصوى.
- إذا كان عدد الـ Tokens > 0:
- نُقلل عدد الـ Tokens بواحد.
- نسمح بالطلب.
- إذا كان عدد الـ Tokens = 0:
- نرفض الطلب أو نؤجله.
2. خوارزمية Leaky Bucket
خوارزمية Leaky Bucket شبيهة بـ Token Bucket، لكن سلوكها أكثر ثباتاً، وغالباً تُستخدم لضمان خروج الطلبات بمعدل ثابت تقريباً.
الفكرة الأساسية
- نتخيل دلو به ثقب في الأسفل.
- الطلبات الجديدة تُضاف إلى الدلو (كأنها ماء).
- الماء (الطلبات) يخرج من الثقب بمعدل ثابت، مثلاً طلب واحد كل 100ms.
- إذا امتلأ الدلو بالكامل ووصل حد سعته:
- إما نرمي الطلبات الزائدة (Drop).
- أو نمنع استقبال طلبات جديدة مؤقتاً.
ماذا يميز Leaky Bucket؟
- معدل الخروج ثابت جداً، مما يحمي الأنظمة الخلفية من الـ Burst المفاجئ.
- قد يكون أقل مرونة مع المستخدم الذي يريد إرسال عدد كبير من الطلبات في وقت قصير.
3. خوارزمية Fixed Window Counter
هذه الخوارزمية هي الأبسط، وفيها:
- نحدد نافذة زمنية ثابتة، مثلاً دقيقة واحدة.
- نحسب عدد الطلبات في هذه الدقيقة لكل Key.
- إذا تجاوز العدد الحد المسموح به خلال هذه الدقيقة → نرفض الباقي.
مثال
الحد المسموح: 100 طلب لكل IP في الدقيقة.
- بين 12:00:00 و 12:00:59: يتم عدّ الطلبات، إذا وصلنا إلى 100 نرفض الباقي حتى 12:01:00.
- عند 12:01:00 تُعاد تهيئة العداد وتبدأ نافذة جديدة.
العيب الأساسي
يمكن أن يحدث Burst عند حدود النوافذ، مثلاً:
- 50 طلب في آخر ثواني من الدقيقة الأولى.
- 50 طلب في أول ثواني من الدقيقة التالية.
في الواقع، هذا يعني 100 طلب في وقت أقل من دقيقة، رغم أن الحد النظري هو 100 في الدقيقة.
4. خوارزمية Sliding Window
خوارزمية Sliding Window تأتي لتحل مشكلة Fixed Window، عبر استخدام نافذة زمنية منزلقة بدلاً من نوافذ ثابتة.
الفكرة الأساسية
- بدلاً من حساب الطلبات في "الدقيقة الحالية" فقط، نحسبها في آخر 60 ثانية (مثلاً) من لحظة كل طلب.
- النافذة تتحرك (Slide) مع الوقت، فلا توجد حدود دقيقة ثابتة تسبب Burst مصطنع.
كيف يتم التطبيق؟
- لكل Key، نخزن timestamps لآخر الطلبات.
- عند كل طلب جديد:
- نحذف الطلبات التي أقدم من مدة النافذة (مثلاً أقدم من 60 ثانية).
- نحسب عدد الطلبات المتبقية.
- إذا العدد أقل من الحد المسموح → نسمح بالطلب ونضيف الـ timestamp الجديد.
- إذا العدد وصل الحد → نرفض الطلب.
مقارنة سريعة بين الخوارزميات
| الخوارزمية | المرونة | سهولة التنفيذ | ملائمة للـ Burst |
|---|---|---|---|
| Token Bucket | عالية | متوسطة | جيدة جداً |
| Leaky Bucket | متوسطة | متوسطة | تقلل الـ Burst |
| Fixed Window | متوسطة | سهلة جداً | تعاني من مشكلة الحدود |
| Sliding Window | عالية | أعلى تعقيداً | تحكم أفضل في المعدل الفعلي |
كيفية تنفيذ Rate Limiting في الأنظمة العملية
تطبيق Rate Limiting Systems في بيئة حقيقية يحتاج إلى الانتباه لعدة نقاط معمارية (Architectural).
1. أين نضع منطق Rate Limiting؟
- عند بوابة API Gateway:
- مثل Nginx, Kong, API Gateway في السحابة.
- حل مركزي، سهل التطبيق، ويمنع الطلبات قبل دخولها للنظام الداخلي.
- داخل التطبيق نفسه:
- يمنح مرونة أكبر في القواعد والمنطق (Per user, per route, per plan).
- لكن قد يستهلك موارد من التطبيق الأساسي.
2. تخزين الحالة (State) في الأنظمة الموزعة
في الأنظمة الموزعة (Multiple Instances / Microservices)، لا يمكن الاعتماد على ذاكرة خادم واحد لعدّ الطلبات، لأن:
- كل طلب قد يذهب إلى خادم مختلف عبر Load Balancer.
لذلك نستخدم:
- مخزن مركزي سريع مثل Redis أو Memcached.
- قواعد بيانات أو كاش تدعم عمليات Atomic Increment.
3. تحديد الـ Key المناسب
اختيار الـ Key هو جزء مهم من الأمان:
- إستخدام IP Address:
- جيد كطبقة أولى.
- لكن قد يسبب مشاكل مع NAT أو شبكات تشارك نفس الـ IP.
- إستخدام API Key / User Token:
- أدق في تحديد المستهلك الفعلي.
- يسمح بالتفريق بين الخطط والاشتراكات.
4. تصميم رسائل الخطأ وتجربة المستخدم
من المهم ألا يتحول Rate Limiting إلى تجربة مزعجة للمستخدمين الشرعيين:
- إرجاع كود HTTP واضح مثل 429.
- إضافة هيدرز مثل:
X-RateLimit-Limit– الحد الأقصى المسموح.X-RateLimit-Remaining– الطلبات المتبقية.Retry-After– متى يمكن المحاولة مرة أخرى.
- توضيح قوانين الاستخدام في وثائق الـ API.
Rate Limiting كجزء من استراتيجية أمان متكاملة
رغم قوة Rate Limiting Systems، إلا أنه لا يكفي وحده لحماية النظام. يجب اعتباره جزءاً من منظومة أمان أوسع تشمل:
- التحقق من الهوية والصلاحيات (Authentication & Authorization).
- توقيع الطلبات (Request Signature) والتأكد من سلامتها.
- استخدام WAF (Web Application Firewall) للكشف عن الأنماط غير الطبيعية.
- تقنيات تحليل سلوكي وربما الذكاء الاصطناعي في الأمن السيبراني لرصد الهجمات المتقدمة.
أيضاً من المهم مراقبة الـ Logs وتحليل معدلات الطلبات بشكل دوري لضبط حدود Rate Limiting بطريقة لا تظلم المستخدمين الفعليين ولا تسمح للمهاجمين بالعمل بحرية.
نصائح عملية لتصميم Rate Limiting فعّال
- ابدأ ببساطة:
- يمكن البدء بـ Fixed Window Counter عند بوابة الـ API، ثم التطور لاحقاً إلى Token Bucket أو Sliding Window.
- استخدم طبقات متعددة:
- حد لكل IP + حد لكل User + حد لكل Endpoint حساس (مثل تسجيل الدخول).
- ميّز بين الخطط:
- ضع حدوداً منخفضة للحسابات المجانية وحدوداً أعلى للمدفوعة.
- راقب وعدّل:
- استخدم Monitoring لمراقبة عدد الطلبات المرفوضة، واضبط القيم حسب الاستخدام الفعلي.
- احمِ النقاط الحساسة:
- مثل /login، /reset-password، أو /payment بحدود أكثر تشدداً من بقية الـ API.
الخلاصة
Rate Limiting Systems ليست مجرد خاصية إضافية في تصميم الأنظمة، بل هي جزء أساسي من الأمن السيبراني واستقرار الخدمات. من خلال خوارزميات مثل Token Bucket وLeaky Bucket، وطرق مثل Fixed وSliding Window، يمكن التحكم بذكاء في معدل الطلبات، حماية الـ API من إساءة الاستخدام، وضمان توزيع عادل للموارد بين المستخدمين.
التركيز ليس فقط على منع الهجمات، بل أيضاً على تحقيق توازن بين:
- حماية النظام.
- وتقديم تجربة استخدام سلسة للمطورين والمستخدمين الشرعيين.
عند تصميم أي نظام أو API جديد، ضع Rate Limiting في الاعتبار من البداية، واعتبره جزءاً من معمارية الأمان والأداء، وليس مجرد Patch يتم إضافته بعد ظهور المشكلة.