¿Cuáles son algunas buenas maneras de evitar que un visitante malintencionado maximice las llamadas al servicio máximo permitido de la API de nuestro cliente?

Navega tus respuestas
1

Ejecutamos un servicio de API. Le dimos a nuestro cliente un paquete para el límite máximo de 12000 llamadas API por día. Nos informó que un usuario ha visitado intencionalmente su página web 12,000 veces al día para maximizarla. Revisamos los registros y bloqueamos esa IP. Unos días más tarde, los ataques se produjeron de nuevo, esta vez, desde 50 direcciones IP diferentes en todo el mundo, con nuevos estallidos tan pronto como los prohibimos. El cliente sospecha que es su competidor tratando de obligarlo a gastar más dinero. Esto ha estado ocurriendo durante 2 meses. Probablemente debería obtener una mejor protección contra DDoS, pero ¿cuáles son algunas buenas maneras de resolver esto por nuestra parte?

    
pregunta Dax 02.02.2014 - 14:15
fuente

3 respuestas

1

También puedes considerar implementar algún tipo de control de velocidad. Un Google rápido muestra este artículo enlace que hace un trabajo razonable de describirlo.

Hay algunas cosas que debe tener en cuenta cuando se limita la velocidad, por lo general, es mejor ser progresivamente más lentos en la respuesta que en los errores difíciles, pero observe los ataques de DOS. Por lo general implemento un control de velocidad general y subconjuntos de límites más pequeños, como una única dirección IP o solicitudes idénticas para los mismos datos

    
respondido por el rlb 03.02.2014 - 10:14
fuente
0

Si no perjudica la experiencia del usuario, es posible que necesite que los usuarios inicien sesión en una cuenta antes de poder acceder a la API, poner un CAPTCHA en la creación de la cuenta y limitar el número de llamadas API por cuenta.

    
respondido por el Mike Scott 02.02.2014 - 14:24
fuente
0

He recomendado el siguiente método en otras circunstancias, pero si realmente se ha convertido en una red de bots (en lugar de falsificar su IP), no funcionará. *

Básicamente, todo lo que tiene que hacer es crear una aplicación Java o Flash que obtenga la IP del usuario desde el programa Java o Flash Player instalado en la computadora. Esto debería evitar los proxies y la suplantación de identidad (es por esto que TOR no le permite ejecutar el script de forma predeterminada). Entonces deberías poder hacer una lista negra de los IP que REALMENTE está usando.

* Basado en el hecho de que "las nuevas [IP] están apareciendo tan pronto como [tú] las prohibes", me parece que es casi seguro que está falsificando algunas IP que posee en lugar de crear una red de bots. Esto es También mucho menos ilegal.

    
respondido por el KnightOfNi 04.02.2014 - 00:55
fuente

Lea otras preguntas en las etiquetas

¿Puedo identificar de manera confiable los dispositivos de Apple que no se han reparado contra la vulnerabilidad de gotofail basada en la cadena de agente de usuario? Ataques MITM con GUI web