В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

ctodailychat

1423 membersпожаловаться на группу
2021 March 20

O

Onlinehead in ctodailychat
То есть да, предавторизация через какой-то api gateway решает вопрос в больше части, но вот если запрос его проходит, тут уже совсем не очень понятно что делать. Рейтлимитить разве что по ключу, но это опять же закрытое API и чего бы в этом случае просто не отбивать сразу в 401 еще на этапе авторизации первичного запроса..
источник
17:35пожаловаться#1

IV

Igor V in ctodailychat
можно много стратегий применить, но ты прав, в коробке нет способа кроме активации billing alert и создания алертов используя метрики из cloudwatch
источник
17:38пожаловаться#2

O

Onlinehead in ctodailychat
Igor V
можно много стратегий применить, но ты прав, в коробке нет способа кроме активации billing alert и создания алертов используя метрики из cloudwatch
Хм, а что дальше то делать? Вот получил ты алерт, а способ митигации все равно не ясен. Ты знаешь что тебе жгут бюджет, а что делать дальше - понятно.
источник
17:39пожаловаться#3

IV

Igor V in ctodailychat
throttle можно включить по алерту
источник
17:39пожаловаться#4

O

Onlinehead in ctodailychat
Меня пугает что я даже не знаю способа не из коробки, который бы позволил это сделать без потери главных фич (параллельность, edgы) и т.д. вообще без заворачивания трафика через что-то.
источник
17:40пожаловаться#5

O

Onlinehead in ctodailychat
Igor V
throttle можно включить по алерту
Получится общая дергадация сервиса, а если лимит по троттлингу не особо прижимать, то эффект будет минимальным, сейчас купить get через ботнет на пару десятков-сотен тысяч адресов стоит десятки баксов. Ну то есть тебе очевидно станет несколько полегче, но ты все равно будешь процессить лямбдой тысячи невалидных запросов.
источник
17:41пожаловаться#6

O

Onlinehead in ctodailychat
Амазоновские системы в этом месте вряд ли спасут, оно скорее от заливки и если твой fw пропускает подобный трафик то они с радостью его примут. А заворачивать через WAF поток в хранилище... ну в этом случае у тебя скорее всего достаточно бюджета чтобы вообще не парится над такой проблемой:)
источник
17:43пожаловаться#7

IV

Igor V in ctodailychat
alert -> sns -> лямба которая активирует throttle у object lambda
выше ты тоже говоришь про деградацию сервиса.

идея в том что или ты придумываешь нормальное решение на уровне своей лямбды или деградируешь средствами амазона
источник
17:44пожаловаться#8

O

Onlinehead in ctodailychat
Igor V
alert -> sns -> лямба которая активирует throttle у object lambda
выше ты тоже говоришь про деградацию сервиса.

идея в том что или ты придумываешь нормальное решение на уровне своей лямбды или деградируешь средствами амазона
Да, я понимаю. Меня пугает невозможность отсечь трафик до лямбды. То есть тебя не положат, но ты за это вероятно дорого заплатишь.
источник
17:45пожаловаться#9

O

Onlinehead in ctodailychat
Ну или деградируешь, да, что вполне может быть целью атаки:)
источник
17:45пожаловаться#10

IV

Igor V in ctodailychat
Если активно читают с твоего S3 то проблема в другом. Нужен или CF впереди или включаешь requester pays
источник
17:45пожаловаться#11

O

Onlinehead in ctodailychat
Igor V
Если активно читают с твоего S3 то проблема в другом. Нужен или CF впереди или включаешь requester pays
Да, логично. Но вот у нас есть CF, а в нем есть edge lamda. И вот тут то и возникает проблема.
источник
17:46пожаловаться#12

IV

Igor V in ctodailychat
в CF можно завернуть запрос до вызова lambda edge
источник
17:47пожаловаться#13

O

Onlinehead in ctodailychat
Трафик в целом дешевый, лить тебе бюджет через скачивание неразумно. А вот через edge lambda - почему нет. Атака получается очень дешевой, каналы не нужны толком.
источник
17:47пожаловаться#14

O

Onlinehead in ctodailychat
Igor V
в CF можно завернуть запрос до вызова lambda edge
Я про сценарий shadow ban все еще:) Ты же не знаешь, надо тебе запрос заворачивать или нет, пока ты лямбду не запустил и не исполнил логику.
источник
17:48пожаловаться#15

O

Onlinehead in ctodailychat
Схема закрытого api, подписанных реквестов (когда их сам CF/S3 проверяют) и т.д. решает проблему безусловно.
источник
17:48пожаловаться#16

O

Onlinehead in ctodailychat
Меня пугает исключительно сценарий "кто-то может инициировать лямбды без авторизации и ты не можешь понять нормальный это запрос или нет не запустив ту самую лямбду". Предфильтра нет, в общем.  Остальное, конечно, там уже решено изначально.
источник
17:50пожаловаться#17

IV

Igor V in ctodailychat
Onlinehead
Я про сценарий shadow ban все еще:) Ты же не знаешь, надо тебе запрос заворачивать или нет, пока ты лямбду не запустил и не исполнил логику.
если я дал доступ к s3 то я понимаю риски. обычно доступ к s3 дают или партнерам или requester pays
источник
17:51пожаловаться#18

O

Onlinehead in ctodailychat
Igor V
если я дал доступ к s3 то я понимаю риски. обычно доступ к s3 дают или партнерам или requester pays
Да, с S3 пожалуй все проще чем с CF, который обычно нужен, когда у тебя что-то тяжелое и публичное.
источник
17:52пожаловаться#19

O

Onlinehead in ctodailychat
Ну и это уже непубличный блок, то есть у тебя предфильтр на уровне выдачи доступа только тем, кому ты доверяешь.
источник
17:53пожаловаться#20