Quali sono alcuni buoni modi per impedire a un visitatore malintenzionato di massimizzare le chiamate di servizio massime consentite dall'API dei nostri clienti?

Question

Quali sono alcuni buoni modi per impedire a un visitatore malintenzionato di massimizzare le chiamate di servizio massime consentite dall'API dei nostri clienti?

#1 da (1 voti)
#2 da (0 voti)
#3 da (0 voti)

1

Gestiamo un servizio API. Abbiamo fornito al nostro cliente un pacchetto per il limite massimo di 12000 chiamate API al giorno. Ci ha riferito che un utente ha visitato di proposito la sua pagina web 12.000 volte al giorno per massimizzarlo. Abbiamo controllato i log e bloccato quell'IP. Pochi giorni dopo, gli attacchi sono venuti di nuovo, questa volta, da 50 diversi IP in tutto il mondo, con quelli nuovi che spuntano non appena li abbiamo vietati. Il cliente sospetta che sia il suo concorrente che cerca di costringerlo a spendere di più. Questo è andato avanti per 2 mesi. Probabilmente dovrebbe ottenere una protezione DDoS migliore, ma quali sono alcuni buoni modi per risolverlo dalla nostra parte?

php mysql denial-of-service ddos

posta Dax 02.02.2014 - 14:15

fonte

3 risposte

Leggi altre domande sui tag php mysql denial-of-service ddos

Pseudocodice di crittografia a blocchi Solo una voce nel database No-SQL richiede la crittografia

score 1 · Answer 1

Potresti anche cercare di implementare qualche forma di controllo della velocità. Un rapido google mostra questo articolo link che fa un lavoro ragionevole di descriverlo.

Ci sono alcune cose a cui prestare attenzione quando si limita la velocità, generalmente meglio essere progressivamente più lenti a rispondere piuttosto che a un errore grave, ma attenzione agli attacchi DOS. In genere implemento un controllo di velocità generale e sottoinsiemi di limiti più piccoli, come un singolo indirizzo IP o richieste identiche per gli stessi dati

score 0 · Answer 2

Se non comprometterebbe troppo l'esperienza dell'utente, potresti richiedere agli utenti di accedere a un account prima che possano accedere all'API, inserire un CAPTCHA per la creazione dell'account e limitare il numero di chiamate API per account.

score 0 · Answer 3

Ho consigliato il seguente metodo in altre circostanze, ma se si è veramente creato una botnet (al contrario dello spoofing del suo IP) non funzionerà. *

Fondamentalmente, tutto ciò che devi fare è creare un'applicazione Java o Flash che ottenga l'IP dell'utente dal programma Java o Flash Player installato sul computer. Questo dovrebbe bypassare i proxy e lo spoofing (questo è il motivo per cui TOR non ti permette di eseguire script di default). Dovresti quindi essere in grado di creare una lista nera degli IP che usa VERAMENTE.

* Basandosi sul fatto che "i nuovi [IPs stanno scoppiando] non appena li metti al bando", mi sembra che stia quasi certamente spoofingando alcuni IP di sua proprietà piuttosto che creare una botnet - questo è anche molto meno illegale.