Что произойдет, если ботнет использует http-запросы для опустошения моего сервера Amazon AWS?

Question

Я собираюсь запустить приложение, и я боюсь, что мои конкуренты просто убьют меня, истощив мои ресурсы Amazon AWS, используя ботнет для отправки бессмысленных http-запросов на мою учетную запись Amazon AWS. Я получил только несколько тысяч долларов, и я не могу позволить себе быть убитым таким образом.

Какими другими способами мои конкуренты или ненавистники могли бы истощить ресурсы моего сервера, чтобы истощить мой банковский счет, и как это предотвратить?

пожалуйста, помогите. Я нахожусь в очень стрессовой ситуации, когда я не могу получить ответ на этот вопрос. Любое предложение приветствуется.

Спасибо.

Answer 1

Как отмечает @morras, AWS Shield + WAF является хорошей комбинацией для защиты ваших ресурсов от спам-запросов. Поскольку вы не предоставили своей архитектуре информацию о том, какие службы AWS вы фактически используете, я пытаюсь ответить на основе общего термина.

В AWS Shield существует два типа

1. Стандарт - в AWS Shield Standard встроены автоматические методы смягчения, обеспечивающие защиту от распространенных, наиболее часто встречающихся инфраструктурных атак. Если у вас есть технический опыт для создания правил на основе вашего запроса, вы можете пойти с этим.
2. Продвинутый - AWS WAF поставляется с этим бесплатно, и вы будете иметь круглосуточный доступ к команде реагирования DDoS (AWT) AWS, специалистам по поддержке, которые применяют ручные средства защиты для более сложных и изощренных атак DDoS, непосредственно создают или обновите правила AWS WAF и можете порекомендовать улучшения для своих архитектур AWS. Он также включает в себя некоторую защиту затрат от Amazon EC2, Elastic Load Balancing, Amazon CloudFront и Amazon Route 53 скачков использования, которые могут возникнуть в результате масштабирования во время DDoS-атаки

Пожалуйста, взгляните на дизайн отказоустойчивой архитектуры в aws, чтобы уменьшить DDOS .

обновление : если команда AWS Shield Advanced определяет, что инцидент является действительной DDoS-атакой и что базовые сервисы масштабированы для поглощения этой атаки, AWS предоставляет кредит аккаунта для расходов, понесенных в результате атаки. Например, если ваше законное использование передачи данных CloudFront в течение периода атаки составляло 20 ГБ, но из-за атаки вы понесли плату за 200 ГБ дополнительной передачи данных, AWS предоставит кредит для компенсации дополнительных расходов на передачу данных. AWS автоматически применяет все кредиты к вашим будущим ежемесячным счетам. Кредиты применяются к AWS Shield и не могут быть использованы для оплаты других услуг AWS. Кредиты действительны в течение 12 месяцев.

В соответствии с документацией предоставляются следующие услуги: Amazon CloudFront, Elastic Load Balancing, Route 53 или Amazon EC2. Обратитесь в службу поддержки AWS, покрываются ли ваши услуги.

Answer 2

Есть несколько доступных вариантов. First of AWS предоставляет AWS Shield , который является сервисом защиты от DDoS. Стандартная подписка является бесплатной и распространяется на наиболее часто встречающиеся DDoS-атаки на сетевом и транспортном уровнях.

Кроме того, вы можете рассмотреть возможность использования AWS WAF - брандмауэр веб-приложений , который позволяет настраивать правила для трафика, который разрешается для ваших серверов.

Вы также можете использовать API-шлюз перед вашим сервисом и установить ограничения регулирования в зависимости от количества пропускаемого трафика.

Однако я бы спросил, действительно ли вам это нужно? Похоже, вы обеспокоены тем, что у вас будет огромный счет AWS, если конкуренты начнут отправлять вам миллионы запросов. Вы можете настроить оповещения о выставлении счетов таким образом, чтобы, когда ваш прогнозируемый счет превышал определенный порог, вы получали предупреждение, и вы могли либо вручную отключать службы, подвергающиеся бомбардировке, и выяснять, как выглядят атаки, либо получать автоматический ответ через CloudWatch. Я полагаю, что вы обнаружите, что на вас не будут нападать, и что вам не следует слишком беспокоиться об этом векторе атаки.