Configuración de la función de Limitación de velocidad de Cloudflare
Información general
La función de Limitación de velocidad de Cloudflare identifica y mitiga automáticamente tasas de solicitud elevadas, ya sea para una URL específica o para todo un dominio. Las tasas de solicitud se calculan localmente en los centros de datos individuales de Cloudflare. Los usos más comunes de la limitación de velocidad son: protección DDoS, protección contra ataques de fuerza bruta, limitación de acceso a las búsquedas de foros, llamadas API o recursos que implican operaciones que exigen un uso intensivo de datos en su origen.
Una vez que una dirección IPv4 individual o un rango de IPv6 /64 supera un umbral de regla, se bloquean más solicitudes al servidor web de origen con una respuesta HTTP 429, que incluye un encabezado Reintentar más tarde para indicar cuándo el cliente puede reanudar el envío de solicitudes.
Análisis
Puedes ver los análisis de la función limitación de velocidad en Analytics > Seguridad. Este análisis utiliza líneas continuas que representan el tráfico que coincide con las solicitudes simuladas y líneas discontinuas que representan las solicitudes reales bloqueadas. Los registros generados por una regla de limitación de velocidad solo son visibles para los clientes Enterprise a través de los registros de Cloudflare.
Cloudflare devuelve un error HTTP 429 para las solicitudes bloqueadas. Los clientes Enterprise pueden consultar los detalles de las solicitudes bloqueadas por ubicación en Códigos de estado en el panel de control de análisis disponible en Analytics > Tráfico.
Prestaciones de la limitación de velocidad según plan
El número de reglas de limitación de velocidad permitidas depende del plan del dominio:
| Plan | N.° de reglas | Acciones | Duración de la acción | Periodo de la solicitud |
|---|---|---|---|---|
| Gratuito | 1 | Bloquear | 1 minuto o 1 hora | 10 segundos o 1 minuto |
| Pro | 10 | Bloquear, CAPTCHA heredado (Legacy CAPTCHA), desafiar con JS, desafío gestionado o registro | 1 minuto o 1 hora | 10 segundos o 1 minuto |
| Business | 15 | Bloquear, CAPTCHA heredado (Legacy CAPTCHA), desafiar con JS, desafío gestionado o registro | 1 minuto, 1 hora o 24 horas | 10 segundos, 1 minuto o 10 minutos |
| Enterprise | 100 | Bloquear, CAPTCHA heredado (Legacy CAPTCHA), desafiar con JS, desafío gestionado o registro | Cualquier duración indicada entre 10 segundos y 86 400 segundos (24 horas) | Cualquier valor introducido entre 10 segundos y 3 600 segundos (1 hora). |
La función de limitación de velocidad de Cloudflare admite varios niveles de control de configuración en función del plan Cloudflare del dominio. La siguiente tabla muestra lo que puedes hacer según el plan al que estés suscrito:
| N.º
|
Tarea
|
Disponible en
1
|
Configurar una regla básica de limitación de velocidad
|
Todos los planes
| |
2
|
Configurar Criterios Avanzados
|
Planes Business y Enterprise
| |
3
|
Configuración Respuesta Avanzada
|
Planes Business y Enterprise
| |
4
|
Configuración opción Omitir
|
Plan Enterprise
|
Elementos de una regla de limitación de velocidad
Una regla de limitación de velocidad consta de tres elementos distintos. Haz clic en un elemento para desplegar los detalles:
Las solicitudes entrantes se emparejan en función de:
La ruta de solicitud
Por ejemplo:
La ruta de solicitud no distingue entre mayúsculas y minúsculas. Los modelos no pueden coincidir con el contenido después de las cadenas de consulta (?) o los anclajes (#). Un asterisco (*) coincide con cualquier secuencia de caracteres, incluida una secuencia vacía. Por ejemplo:
- *.ejemplo.com/* coincide con cualquier ruta en cualquier subdominio de ejemplo.com
- *ejemplo.com/ejemplo.html coincide con ejemplo.html en ejemplo.com o con cualquier subdominio de ejemplo.com
- * coincide con cualquier página de tu sitio
Una solicitud para ejemplo.com/ruta no es lo mismo que ejemplo.com/ruta/. La única excepción a esta regla es la página de inicio, ejemplo.com coincide con ejemplo.com/.
Esquema de solicitud
HTTP o HTTPS. Si no se especifica ninguno, ambos coinciden y la regla mostrará _ALL_.
Método de solicitud
POST o GET. Si no se especifica ninguno, todos los métodos coinciden y la regla mostrará _ALL_.
(opcional) Código de respuesta de origen
Por ejemplo, haz coincidir una regla de limitación de velocidad solo cuando se devuelva el código de error HTTP 401 o 403 desde el servidor web de origen. Una regla activada que coincida con los criterios del código de respuesta bloquea las solicitudes posteriores de ese cliente, independientemente del código de respuesta de origen.
Una regla puede coincidir con el número y el periodo de tiempo de todas las solicitudes que realice el mismo cliente:
Cantidad de solicitudes
Especifica un mínimo de dos solicitudes. Para el bloqueo de solicitudes individuales, haz que la ruta no esté disponible, configurando, por ejemplo, tu servidor web de origen para que devuelva un código de error 403.
Periodo de la solicitud
Una regla se activa cuando las solicitudes de un cliente superan el umbral durante la duración especificada.
La mitigación de reglas consiste en:
Acción de mitigación
Las acciones de limitación de velocidad se basan en el plan del dominio, tal y como se menciona en Prestaciones de la función de Limitación de velocidad según plan:
- Bloquear: Cloudflare emite un código de error HTTP 429 cuando se supera el límite.
- CAPTCHA heredado - El visitante debe superar un desafío de CAPTCHA. Si lo consigue, Cloudflare permite la solicitud.
- Desafío JS: el visitante debe pasar un desafió JavaScript de Cloudflare. Si lo consigue, Cloudflare permite la solicitud.
- Registrar- Las solicitudes se registran en Registros de Cloudflare. De este modo, se ayuda a probar las reglas antes de aplicarlas.
Duración de la prohibición
Si se establece un tiempo de vencimiento inferior al limite, la API lo aumenta automáticamente para igualar el limite.
Las personas que accedan a la función de limitación de velocidad reciben una página HTML por defecto si no se especifica una página de error personalizada. Además, los clientes Business y Enterprise pueden especificar tipos de respuesta en la propia regla. Ver Tarea 3: configurar Respuesta Avanzada más adelante.
Identificación de los umbrales del límite de velocidad
Para identificar un limite general en la función de Limitación de velocidad de Cloudflare, divide 24 horas de solicitudes de sitios web no almacenadas en caché entre los visitantes únicos de esas mismas 24 horas. A continuación, divídelo por la media estimada de minutos de una visita. Finalmente, multiplica ese valor por 4 (o más) para establecer un límite aproximado por minuto para todo tu sitio. Un valor más alto de 4 está bien porque la mayoría de los ataques están en un orden de magnitud superior a las tasas de tráfico habitual.
Para identificar los límites de velocidad de URL para una URL específica, utiliza 24 horas de solicitudes no almacenadas en caché y visitantes únicos para la URL específica. Ajusta los límites según los informes de los usuarios y tu propia monitorización.
Tarea 1: configurar una regla básica de limitación de velocidad
Haz clic para desplegar los detalles sobre la creación de los dos tipos comunes de regla de Limitación de velocidad de Cloudflare.
La función Limitación de velocidad incluye la herramienta Proteger tu inicio de sesión que con un solo clic crea una regla para bloquear durante 15 minutos al cliente que envía más de 5 solicitudes POST en un plazo de 5 minutos. Esta herramienta es suficiente para bloquear la mayoría de los intentos de inicio de sesión de fuerza bruta.
- Inicia sesión en tu cuenta de Cloudflare.
- Selecciona el dominio que quieres proteger.
- Ve a Seguridad > WAF > Reglas de limitación de velocidad.
- En Limitación de velocidad, haz clic en Proteger tu inicio de sesión.
- Escribe el nombre de regla y la URL de inicio de sesión en el cuadro de diálogo Proteger tu inicio de la sesión.
- Haz clic en Guardar.
- El nombre de regla aparece en su lista de reglas de limitación de velocidad.
1. Inicia sesión en el panel de control de Cloudflare.
2. Selecciona el dominio correspondiente.
3. Ve a Seguridad > WAF > Reglas de limitación de velocidad.
4. Haz clic en Crear una regla personalizada. Aparecerá un cuadro de diálogo en el que puedes escribir información detallada de tu nueva regla.
5. Escribe un nombre de la regla descriptivo.
6. En la opción Si el tráfico coincidente con la URL, selecciona un esquema HTTP del menú desplegable así como una URL.
7. En desde la misma dirección IP supera, escribe un número entero mayor que 1 para representar el número de solicitudes en un periodo de muestreo.
8. En solicitudes por, selecciona el periodo de muestreo (el periodo durante el cual se cuentan las solicitudes). Los dominios de los planes Enterprise pueden escribir manualmente cualquier duración entre 10 segundos y 3 600 segundos (1 hora).
9. En el menú desplegable A continuación, elige una de las acciones disponibles según tu plan. Revisa la sección Mitigación de reglas de Elementos de una regla de limitación de velocidad para obtener más información.
10. Si has seleccionado bloquear o registrar para que coincida con el tráfico de ese visitante, selecciona durante cuánto tiempo se aplicará la opción una vez que se haya activado un umbral. Los dominios de los planes Enterprise pueden escribir cualquier tiempo entre 10 segundos y 86.400 segundos (24 horas).
11. Para activar tu nueva regla, haz clic en Guardar e implementar.
La nueva regla aparece en la lista de reglas de limitación de velocidad.
En general, al configurar un umbral inferior:
- No cambies las reglas existentes y añade una nueva regla con el umbral más bajo.
- Una vez que se haya implementado la nueva regla, espera a que pase la duración de la acción de la regla anterior antes de eliminarla.
Si configuras un umbral más alto (debido al bloqueo de clientes legítimos), aumenta el umbral dentro de la regla existente.
Tarea 2: configurar Criterios Avanzados (solo para planes Business y Enterprise)
La opción Criterios avanzados configura qué métodos HTTP, respuestas de encabezado y códigos de respuesta de origen coinciden con tu regla de limitación de velocidad.
Para configurar tus criterios avanzados para una regla nueva o existente, sigue estos pasos:
1. Despliega el menú Criterios avanzados.
2. Selecciona un valor del menú desplegable Método(s). El valor por defecto es CUALQUIERA, que coincide con todos los métodos HTTP.
3. Filtra por encabezado(s) de respuesta HTTP. Haz clic en Añadir campo de respuesta de encabezado para incluir los encabezados devueltos por tu servidor web de origen.
El encabezado CF-Cache-Status aparece por defecto para que Cloudflare entregue los recursos almacenados en caché en lugar de limitar la velocidad de esos recursos. Para limitar la velocidad de los recursos almacenados en caché, elimina este encabezado haciendo clic en el botón X o activa Aplicar también límite de velocidad a los recursos en caché.
Si tienes más de un encabezado en Encabezados(s) de respuesta HTTP, se aplica una lógica booleana Y. Para excluir un encabezado, utiliza la opción No iguales. Cada encabezado no distingue entre mayúsculas y minúsculas.
4. En Código(s) de respuesta de origen, escribe el valor numérico de cada código de respuesta HTTP que deba coincidir. Separa dos o más códigos HTTP con una coma (p. ej. 401, 403).
5. (Opcional) Configura las funciones adicionales de limitación de velocidad basadas en tu plan.
6. Haz clic en Guardar e implementar.
Tarea 3: configurar Respuesta Avanzada (solo para planes Business y Enterprise)
La opción Respuesta avanzada configura el formato de la información devuelta por Cloudflare cuando se supera el umbral de una regla: Utiliza Respuesta avanzada cuando desees devolver texto sin formato estático o contenido JSON.
Para configurar una respuesta de texto sin formato o JSON:
1. Despliega el menú Respuesta avanzada.
2. Selecciona un formato de tipo de respuesta que no sea el predeterminado: JSON Personalizado o Texto Personalizado.
3. Escribe la respuesta de texto sin formato o JSON que deseas devolver. El tamaño máximo de respuesta es de 32 kB.
5. (Opcional) Configura las funciones adicionales de limitación de velocidad en función de tu plan.
6. Haz clic en Guardar e implementar.
Uso de página HTML personalizada o redireccionamiento
Si deseas mostrar una página HTML personalizada, configura una página personalizada para los errores HTTP 429 (“Demasiadas solicitudes”) en el panel de control. Cloudflare mostrará esta página cuando selecciones “Página de limitación de velocidad de Cloudflare por defecto” en tipo de respuesta(el valor por defecto del campo).
Puedes utilizar este método para redirigir a un cliente con tarifa limitada a una URL específica:
1. Crea una página HTML en tu servidor que redirija a la URL final de la página que deseas mostrar. Incluye una etiqueta meta refresh en el contenido de la página, como en el siguiente ejemplo:
<!tipodedocumento html><html>
<head> <meta charset="utf-8"> <título>Página personalizada de RL</título> <meta http-equiv="actualizar" contenido="0; url='https://yourzonename/block'" /></head>
<body> </body>
</html>Toma nota de la URL pública de la página que has creado.
2. En el panel de control de Cloudflare, ve a Inicio de la cuenta > Configuraciones > Páginas personalizadas.
3. En errores 429, haz clic en Páginas personalizadas.
4. Escribe la URL de la página que has creado en tu servidor, la página que contiene la etiqueta meta refresh, y haz clic en Publicar.
Sigue el mismo procedimiento si deseas devolver contenido de texto sin formato o JSON, pero la respuesta es mayor de 32 kB. En este caso, la URL de redireccionamiento sería la URL del recurso de texto sin formato o JSON que se desea mostrar.
Notas:
- Tu limitación de velocidad no debe coincidir con la URL de redireccionamiento que se incluye en la página HTML personalizada para los errores 429.
- Para protegerse de los ataques de denegación de servicio, la página de redireccionamiento solo debe incluir recursos almacenados en la memoria caché de Cloudflare.
Tarea 4: configurar la opción Omitir (solo planes Enterprise)
Omitir crea una lista de permitidos o una excepción para que no se aplique ninguna acción a un conjunto específico de URL, incluso si coincide con el límite de velocidad. Configura Omitir siguiendo estos pasos:
1. Despliega el menú Omitir.
2. En Omitir regla para estas URL, escribe las URL que deseas eximir de la regla de limitación de velocidad. Escribe cada URL en su propia línea. Un HTTP o HTTPS especificado en la URL se elimina automáticamente cuando se guarda la regla y, en su lugar, se aplica tanto a HTTP como a HTTPS.
3. (Opcional) Configura las funciones adicionales de limitación de velocidad en función de tu plan.
4. Haz clic en Guardar e implementar.
Orden de ejecución de las reglas
Caso de uso 1: Si una solicitud coincide con las dos reglas siguientes,
- regla 1: coincide con prueba.ejemplo.com
- regla 2: coincide con *.ejemplo.com*
o
- regla 1: coincide con *.ejemplo.com*
- regla 2: coincide con prueba.ejemplo.com
entonces la regla 2 siempre se activará primero porque se creó en último lugar.
Caso de uso 2: Al eliminar el asterisco (*) al final del dominio, la ejecución de la regla dependerá de la última regla creada**.**
- regla 1: coincide con prueba.ejemplo.com
- regla 2: coincide con *.ejemplo.com
la regla 2 anterior se activa primero si una solicitud coincide con ambas reglas.
- regla 1: coincide con *.ejemplo.com
- regla 2: coincide con prueba.ejemplo.com
la regla 2 anterior se activa primero si una solicitud coincide con ambas reglas.