以下是我基于 AWS 文档的假设。只是因为文档没有准确解决我在这里提出的问题。
AWS WAF(无论是直接使用还是通过 Shield Advanced 使用)是 AWS 作为服务提供的。
WAF 的定价结构意味着每个请求都会产生成本,即使是来自它可能决定阻止的 IP,因为它仍然需要处理和响应。因此,DDoS 攻击可能会导致成本飙升。
Route53 和 CloudFront 等服务默认启用 AWS Shield Standard,仅可防御第 3/4 层 DDoS 攻击。
问题:
- 我的假设正确吗?
- 我读过一些文章,其中客户提到使用 CloudFlare 等外部服务来提供权威 DNS,因为他们的第 7 层 DDoS 防护更具成本效益。但是,这不是只能防御需要 IP 解析的攻击吗?也就是说,如果攻击者解析了 AWS 服务(如 Global Accelerator)的 IP,他们是否可以直接攻击它而不需要通过 CloudFlare?
- 还有其他第 7 层保护选项吗?
感想(不需要就不用看):
- 我的应用程序 (API) 100% 会成为 DDoS 的候选者。我对其进行了编码,使其能够抵御实际上发送到 API 的欺诈请求(SQL 注入等),因为这是应用程序开发人员的责任。我认为不公平的是客户必须为互联网的固有问题(DDoS 保护)付费。AWS(实际上是任何云提供商)应该负责控制各个级别的 DDoS 攻击,并免费集成此攻击以保护自己的基础设施。但感觉是让客户分担这笔成本。
- 对于正常流量,AWS WAF 的成本相当合理,但如果只是正常流量,我就不会在这里担心。我担心的是第 7 层 DDoS 攻击造成的峰值,其中请求来自更改 IP,但在其他方面似乎是真实的。一夜之间收到 100 亿个请求(通过僵尸网络可以轻松完成),我醒来时收到了 6000 美元的账单。因此,虽然我的应用程序是安全的,但保护 DDoS 的成本(基础设施,而不是应用程序,基础设施)使得像我这样的独资运营商/初创公司几乎不可能可持续发展。