Недавно я пытался использовать настройки по умолчанию, это:
5 - максимальное количество одновременных событий -20 максимальное количество запросов за 200 миллисекунд.
Однако это начало обрезать мои личные подключения к веб-сайту (загрузка javascript, css и т. д.). Мне нужно что-то, что никогда не сработает для пользователей, честно использующих сайт, но я хочу предотвратить атаки типа «отказ в обслуживании».
Какие ограничения лучше установить?
Я не думаю, что существует хороший общий лимит, который подойдет для всех сайтов, он индивидуален для каждого сайта. Это зависит от RPS, времени выполнения запросов и т.д.
Я предлагаю вам изменить регистратор IIS и регистрировать IP каждого запроса. Затем просмотрите журналы IIS, чтобы узнать, какова структура трафика для пользователей, сколько запросов они выполняют в рамках обычного потока. Это должно позволить вам приблизительно оценить среднее количество запросов, поступающих от пользователя в выбранный период времени.
Однако по моему опыту 20 запросов без 200 миллисекунд обычно выглядят как атака. Таким образом, настройки по умолчанию, предоставляемые IIS, кажутся разумными.
