以下是我的假设根据 AWS 文档。我只是因为文档没有准确解决我的问题才来这里询问。
AWS WAF(无论是直接使用还是通过 Shield Advanced 使用)都是 AWS 提供的服务。
WAF 的定价结构意味着每个请求都会产生费用,即使是来自它可能决定阻止的 IP,因为它仍然需要处理和响应。因此,DDoS 攻击可能会导致成本飙升。
Route53 和 CloudFront 等服务默认启用 AWS Shield Standard,仅可防御第 3/4 层 DDoS 攻击。
问题:
- 我的假设正确吗?
- 我读过一些文章,其中客户提到使用 CloudFlare 等外部服务来提供权威 DNS,因为他们的第 7 层 DDoS 保护更具成本效益。但是,这难道不是只能防止需要 IP 解析的攻击吗?也就是说,如果攻击者已经解析了 AWS 服务(如 Global Accelerator)的 IP,他们是否可以直接攻击它而无需通过 CloudFlare?
- 还有其他第 7 层保护选项吗?
反思(如果不需要可以不读):
- 我的应用程序 (API) 100% 会成为 DDoS 攻击的候选对象。我已将其编码为能够抵御实际进入 API 的欺诈请求 (SQL 注入等),因为这是我作为应用程序开发人员的责任。我认为不公平的是客户必须为互联网固有问题 (DDoS 保护) 付费。AWS(以及任何云提供商)应该负责控制各个级别的 DDoS 攻击,并免费集成这些攻击以保护他们自己的基础设施。但感觉就像是让客户分担这笔费用。
- 对于正常流量,AWS WAF 的成本相当合理,但如果只是正常流量,我就不会担心。我担心的是第 7 层 DDoS 攻击导致的峰值,这种攻击的请求来自不断变化的 IP,但其他方面似乎是真实的。一夜之间有 100 亿个请求(通过僵尸网络很容易实现),我醒来时发现账单上有 6000 美元。因此,虽然我的应用程序是安全的,但保护(基础设施,而不是应用程序,是基础设施)免受 DDoS 攻击的成本使得像我这样的个体运营商/初创公司几乎不可能持续下去。
答案1
你的三个假设是正确的。
也许您的问题被否决的原因是因为,就像您所说的那样,所有这些信息在互联网上都可以广泛获得,例如从他们的文档中。
至于你的问题,是AWS shield advanced,他们的文档中可能也提到了这一点,这在 7 层保护方面被认为“更好”,但显然更昂贵。有很多第三方 WAF 解决方案,如 Cloudflare(如您所说)、Akamai、Imperva 和 F5 Networks,所有这些都具有选项和附加功能来防御所有攻击。 还有 ADC,即应用交付控制器,其工作方式与 WAF 解决方案类似,但有一些细微的差别。
最终,最佳的 7 层保护方法将取决于特定因素你的需求,例如预算和您的专业水平。因此,除非您提供更多关于您对 7 层的具体要求的信息,否则很难从如此多不同的方法和服务中做出决定。