Как я могу предотвратить атаки Denial of Wallet на AWS Cloudfront?
Вот моя конкретная ситуация: у меня есть дистрибутив Cloudfront, где функции Lambda @ Edge обслуживают веб-страницы и запросы API для моего приложения. Мне нужно ограничить количество запросов к Cloudfront, основываясь на IP-адресе пользователя. Без какого-либо ограничения скорости возможно, что злонамеренный пользователь сделает миллионы медленных запросов к дистрибутиву, которые не будут заблокированы защитой DDOS AWS и которые могут привести к значительным расходам. Это особенно важно, поскольку функции Lambda @ Edge стоят в 3 раза дороже, чем обычные функции Lambda, и не имеют бесплатного уровня.
Казалось, практично использовать AWS WAF для достижения этой цели. Однако я недавно обнаружил , что WAF взимает плату за все входящие запросы, независимо от того, заблокированы они или нет. Таким образом, атака «Отказ в кошельке» все еще возможна здесь.
Есть ли способ или общая стратегия, которую я могу реализовать здесь, которая не включает AWS WAF?
Пределы должны быть очень жесткими. Даже платить 50 долларов в месяц за вредоносные запросы было бы слишком дорого.