- API ทุกตัวควรต้องมีการยืนยันตัวตน เพื่อให้สามารถระบุผู้ใช้ที่เป็นอันตรายได้
→ หากไม่สามารถบังคับใช้การยืนยันตัวตนทั้งหมดได้ ก็ควรกำหนดข้อจำกัดที่เข้มงวดสำหรับทราฟฟิกแบบไม่ระบุตัวตน/ไม่ได้ยืนยันตัวตน
- ลดปริมาณข้อมูลที่ API เดี่ยวหนึ่งตัวส่งกลับให้น้อยที่สุด
- ใช้ Rate Limit กับ API ทุกตัว
- กรองทราฟฟิกที่เป็นอันตรายก่อนที่จะไปถึงแอปพลิเคชัน
- บล็อก URL ที่ผิดปกติ
- บล็อก IP ที่เป็นอันตราย (แม้ว่าจะเป็น IP ที่มีทราฟฟิกที่ถูกต้องตามกฎหมายอยู่บ้างก็ตาม)
- ทำให้บล็อกลิสต์เป็นอัตโนมัติ
- Tar Pitting เป็นวิธีที่ยอดเยี่ยมในการทำให้บอตเน็ตและการโจมตีแบบอาศัยปริมาณช้าลง
2 ความคิดเห็น
"ควรลดปริมาณข้อมูลที่ API เดี่ยวตัวหนึ่งส่งกลับให้น้อยที่สุด" เป็นประเด็นที่ปกติก็เห็นด้วยและพยายามนำไปใช้ให้ดีอยู่แล้ว แต่ติดความขี้เกียจนี่แหละ..
เป็นเรื่องพื้นฐานที่แน่นอนอยู่แล้ว แต่ก็ดูเหมือนจะเป็นสิ่งที่เรามักมองข้ามไปบ่อย ๆ ระหว่างที่กำลังยุ่งอยู่เหมือนกัน ท้ายที่สุด หลักการก็คงเป็นแบบนี้เอง