Too Many Requests - was ist der Fehler 429 und wie entsteht er?

Die Übermittlung von Statuscodes ermöglicht es dem Hypertext Transfer Protocol (HTTP), den Client bei jeder Anfrage über den aktuellen Zustand zu informieren und die erfolgreiche Verarbeitung oder das Auftreten von Fehlern zu melden. Treten diese auf, kennzeichnet ein Webserver Art und Ursprung durch einen 400 Statuscode bei Problemen durch den Client und einen 500 Statuscode, wenn der wahrscheinliche Auslöser bei dem Server liegt. Zu den häufigeren Meldungen zählt der Statuscode 429 Too Many Requests, der mitunter scheinbar ohne konkreten Grund auftritt. Problematisch an diesem ist unter anderem, dass er leider überdurchschnittlich oft den Administrator einer Webseite selbst betrifft.

Welches Prinzip verbirgt sich hinter dem Statuscode 429?

Um eine schnelle und eindeutige Zuordnung zu erlauben, verwendet der Standard HTTP eine einfache und übersichtliche Einteilung, die einen direkten Schluss aus einer Meldung wie einem 400 Statuscode auf seine Aussage und die wahrscheinliche Ursache zulässt. Offiziell existieren fünf verschiedene Kategorien, die jeweils eine Definition von 100 unterschiedlichen Zuständen erlauben und nach ihrer ersten Ziffer in folgende Gruppen sortiert sind:

• Statuscode 100 bis 199 beschreiben informative Details wie einen Wechsel des Protokolls
• Statuscode 200 bis 299 melden die erfolgreiche Verarbeitung einer Anfrage
• Statuscode 300 bis 399 weisen auf eine Weiterleitung oder einen Redirect hin
• Statuscode 400 bis 499 stehen für durch den Client verursachte Fehler
• Statuscode 500 bis 599 zeigen Probleme an, die (mutmaßlich) durch den Server entstehen

Die Ordnung in dem speziellen Zahlenraum entspricht einer geschichtlichen Entwicklung und nicht einer etwa ihrer Verbreitung - sie erweist sich somit als weitgehend willkürlich. So sehen sich Nutzer im Internet bei einem 400 Statuscode am häufigsten mit dem HTTP Error 404 Not Found und nicht etwa mit 400 Bad Request konfrontiert. Der Fehler 429 Too Many Request tritt regelmäßig auf, die Spitzenplätze nach 404 belegen jedoch mit einigem Abstand Statuscode 400 Bad Request, 401 Unauthorized sowie 403 Forbidden und 408 Request Timeout.

Was besagt der Statuscode 429?

Der Statuscode 429 Too Many Connections oder übersetzt "Zu viele Verbindungen" wird häufig falsch interpretiert. Dabei handelt es sich keinesfalls um eine Mitteilung, dass der Server aktuell insgesamt zu viele Anfragen erhält, wie dies zum Beispiel im Rahmen einer DDoS Attacke erfolgt. Stattdessen bezieht er sich auf die Zugriffe durch einen einzelnen Client, weshalb der Server weitere Versuche grundsätzlich ablehnt. Die Ursache liegt allerdings primär bei dem Client, weshalb er als ein 400 Statuscode eingestuft wird, statt um eine vom Server verursachte Fehlermeldung mit der Kennziffer 500 oder höher.

Letztendlich zeigt der Fehler 429 Too Many Requests lediglich an, dass der Server eine neue Anfrage registriert, obwohl bereits eine Vielzahl von offenen Verbindungen besteht. Dieses Verhalten war in der Vergangenheit typisch für Attacken im Rahmen von DDoS, die versuchen, einen Server mit einer stetig wachsenden Zahl von Clients zu fluten, um sämtliche verfügbaren Ressourcen und Kapazitäten für laufende Prozesse zu reservieren. Allerdings ergibt es nicht allein aus diesem Grund einen Sinn, die maximal mögliche Anzahl der Anfragen für einzelne Nutzer zu limitieren - ähnliche Verfahren gelten in den unterschiedlichsten Bereichen der IT-Security als unverzichtbarer Standard, um den Verbrauch von Rechenleistung und Möglichkeiten zum Austesten von Passwörtern zu beschränken.

Was löst einen Statuscode 429 aus?

Als schwierig erweist sich, dass ein Statuscode 429 Too Many Requests durch verschiedene Quellen ausgelöst werden kann. Die einfachste Variante besteht in einem Browser, der zahlreiche Reiter oder Tabs zu derselben Adresse geöffnet hält und die Verbindungen in kurzen Intervallen aktualisiert - sie stellt allerdings eine seltene Ausnahme dar. In der Praxis dominieren andere, technische Gründe, die sich nicht so leicht diagnostizieren lassen. Zu den verbreitetsten unter ihnen gehören:

• Schlecht programmierte oder fehlerhaft konfigurierte Plug-ins
• Fehlerhafte Erfassung von Anfragen etwa durch fehlende Resets des Zählers
• Zahlreiche offene Verbindungen durch interaktive oder multimediale Elemente
• Mehrfache Identifizierung und Zählung aufgrund IP-Adresse und Cookies
• Parallele, nicht beendete Umleitungen etwa von HTTP auf HTTPS
• Kollektive Registrierung unterschiedlicher Protokolle wie FTP und SSH über HTTP
• Viren oder Trojaner bauen zusätzliche Verbindungen im Hintergrund auf

Leider erweisen sich die Ursprünge für einen Fehler 429 Too Many Requests - wie bei nahezu jedem 400 Statuscode - als extrem vielfältig und erfordern eine genaue Analyse der Log-Dateien, um den Grund zweifelsfrei zu identifizieren. Weil das Problem gleichermaßen durch den Client wie durch den Server verursacht werden kann, versprechen einseitige Maßnahmen nicht zwangsläufig einen Erfolg. Sie weisen jedoch auf Indizien hin, an welcher Stelle der Statuscode 429 Too Many Requests entsteht und wie sich dieser beseitigen lässt. Falls einfache Maßnahmen wie ein Neustart des Browsers und das Löschen der bestehenden Cookies für die betreffende Seite und von Drittanbietern keine Lösung bringen, schlüsselt eine nähere Analyse des Traffics durch Tools wie Netstat unter Linux die Zahl der Verbindungen auf und zeigt, welche Prozesse und Anfragen diesen Zustand bewirken.

Foto: Gerd Altmann Pixabay