我创建了一个依赖于简单功能即服务的微服务应用程序。由于此应用程序基于API,因此我分发令牌以换取一些个人登录信息(Oauth或登录名/密码)。
请明确一点,开发人员随后将使用类似https://example.com/api/get_ressource?token=personal-token-should-go-here
但是,即使未提供token,我的服务器和应用程序逻辑仍然会受到影响,这意味着匿名攻击者可以在不登录的情况下淹没我的服务,从而使我的服务瘫痪。
我最近遇到WAF,他们承诺充当中间人,过滤滥用攻击。我的理解是,WAF只是对我的API进行反向代理,并在将请求委派给我的实际后端之前应用一些已知的攻击模式过滤器。
我真正不明白的是:如果攻击者可以直接访问我后端的IP,该怎么办?他不能够直接绕过我的后端的WAF和DDoS吗? WAF保护仅取决于我的原始IP未被泄漏吗?
最后,我读到WAF仅在能够通过CDN缓解DDoS以便将第7层DDoS攻击散布到多个服务器和带宽时才有意义。这是真的吗?还是我可以自己实施WAF?
答案 0 :(得分:0)
与云一起使用,您可以将应用程序部署到AWS,其中有2个要点。 1.您的产品服务器将位于私有IP而非公共IP的后面。 2. AWS WAF是一项预算服务,非常适合进行批量do,扫描程序和洪水攻击。
您也可以在验证IP失败的尝试中使用验证码。