StackOverflowがDDoS対応で学んだこと
(stackoverflow.blog)- すべてのAPIは認証されるべき。悪意あるユーザーを特定可能にする
→ 完全な認証が不可能なら、匿名・未認証トラフィックに対して強力な制限を設けること - 単一のAPIが返すデータ量を最小限にすること
- すべてのAPIにレート制限を設けること
- 悪性トラフィックがアプリケーションに到達する前にフィルタリングすること
- 不審なURLをブロックすること
- 悪意あるIPをブロックすること(正当なトラフィックが少量発生するIPであっても)
- ブロックリストを自動化すること
- Tar Pittingはボットネットやボリュームベースの攻撃を遅らせる優れた方法
2件のコメント
「単一のAPIが返すデータ量を最小限にすること」には普段から共感していて、うまく適用したいと思っている部分なのですが、面倒くささが…。
当たり前のことばかりですが、忙しい中でつい見落としがちなことでもあるように思います。やはり原則というのはそういうものなのかもしれません。