Я создал приложение микросервиса, полагаясь на простые функции как на сервис. Поскольку это приложение основано на API, я раздаю токены в обмен на некоторую личную информацию для входа (Oauth или логин/пароль).
Просто для ясности: разработчики будут получать доступ к моему приложению, используя что-то вроде: https://example.com/api/get_ressource?token=personal-token-should-go-here
Тем не менее, логика моего сервера и приложения по-прежнему подвергается атаке, даже если token
не предоставляется, а это означает, что анонимные злоумышленники могут залить мои службы без входа в систему, что приведет к отключению моей службы.
Недавно я столкнулся с WAF
, и они обещают выступить в качестве посредника, фильтруя оскорбительные атаки. Насколько я понимаю, WAF просто выполняет обратное проксирование моего API и применяет некоторые фильтры известных шаблонов атак, прежде чем делегировать запрос моему фактическому бэкенду.
Чего я действительно не понимаю, так это того, что, если злоумышленник имеет прямой доступ к IP-адресу моего бэкэнда?! Разве он не сможет напрямую обойти WAF и DDoS моего бэкэнда? Полагается ли защита WAF только на то, что мой первоначальный IP-адрес не просочился?
Наконец, я читал, что WAF имеет смысл только в том случае, если он способен смягчить DDoS-атаки через CDN, чтобы при необходимости распространять DDoS-атаки 7-го уровня на несколько серверов и полосу пропускания. Это правда? или я могу просто реализовать WAF самостоятельно?
If you whitelist [...] your instance will not receive any single request
. Это та часть, которую я не понимаю. Если кто-то даже пропингует мой сервер из белого списка, кто будет отвечать за обработку запроса и его отклонение? Я думаю, что это мой сервер в любом случае. Это меня беспокоит: я не понимаю, как белый список может помешать злоумышленнику отправлять запросы. Нет ли каких-либо накладных расходов на обработку отказа от несанкционированного IP-адреса? - person Jona Rodrigues   schedule 03.08.20191.2.3.4
, а общедоступный IP-адрес моего сервера —5.6.7.8
. Я прекрасно понимаю, что если кто-то выдастping example.com
, файрвол предотвратит попадание5.6.7.8
. Однако, если кто-то выдаетping 5.6.7.8
, я предполагаю, что5.6.7.8
должен что-то ответить (даже просто что-то вроде «не авторизован»), верно? Еще раз, спасибо за ваше терпение в этом :) - person Jona Rodrigues   schedule 04.08.2019"Protect Your Web Servers from Direct Attack"
. Не беспокойтесь об ответе, все в порядке. - person Azize   schedule 05.08.2019