- https://www.suse.com/documentation/suse-openstack-cloud-7/singlehtml/book_cloud_admin/book_cloud_admin.html#get-started-conceptual-architecture

- https://indigo-dc.gitbooks.io/synergy-doc/content/doc/admin.html

- http://inter6.tistory.com/category/OpenStack

참조: https://community.apigee.com/questions/35903/what-is-main-difference-between-quota-policy-and-s.html

1. Quota Policy: This policy is used to meet up the business requirements where business decides the no. of calls allowed for a product/developer/developer app etc and also they can decide pricing for different products based on no. of calls allowed. This ensures business that no developer/app can make calls more than the allowed limit.

2. Spike Arrest: This policy is used to avoid spikes in traffic and protect your backend systems against spikes so I will take it as a measure to protect/secure your API.

01. Quota Policy : It defines a time window ( for example 1 hour or 1 minute ) and within that time a fixed number of request are honored. For example, in 1 hour 10 requested are allowed and the user is free to make all the 10 request in 1 second or 1 hour. The basic idea is that only 10 request are allowed in an hour and make sure a user can make a fixed number of request

02. Spike Arrest. This policy specifies the total number of request and divides between the time interval that is defined. If the number of request is more then that calculated amount that the policy will block access. The idea behind is to make sure the traffic that is coming to the server or handled by target system is smooth and sudden burst of request does not impact.performance.

Quota Policy helps you limit the number of requests per time interval. For instance, setting quota policy rate to 10 per minute, it is possible to hit all 10 requests in the first few seconds of a minute.

Spike Arrest Policy, on the other hand helps you limit the sudden increase in the number of requests at any point in time. For instance, setting spike arrest policy rate to 10 per minute, it does the following calculations to limit the sudden spike/increase in the number of requests -

10 per minute = 10 per 60 seconds = 1 per 6 seconds 

It will not allow more than 1 request every 6 seconds. In this way, we can ensure that all 10 requests are not made within the initial seconds of a minute.

Spike Arrest Policy helps in reducing the risk of automated request generation through malicious code.

The examples are well explain in the Apigee Documentation -

Quota Policy

Spike Arrest Policy

최근 보안 연구원들이 컴퓨터와 라우터, 사물인터넷 기기에 침투해 대규모의 동시 다발적인 디도스 공격을 감행할 수 있는 새로운 툴킷을 찾았다고 밝혔다.

6개월 전, 디도스 대응 전략을 연구하던 아카마이는 ‘스파이크(Spike)’라는 이름의 툴킷을 발견하고 이툴깃이 자사의 아시아와 미국 기업 고객에게 디도스 공격을 감행하는 것을 저지했다.

아카마이의 PLX서트(PLXsert) 연구소장 데이비드 페르단데즈는 “스파이크로 인한 디도스 공격 가운데 하나는 초당 215 기가바이트의 공격, 그리고 초당 1억 5,000만 패킷을 보내는 등 상당한 수준이었다”고 설명했다.

스파이크는 리눅스와 윈도우, 그리고 ARM 기반의 시스템에 침투할 수 있다는 것이 특징인데, 이로 인해 PC, 라우터, 그리고 스마트 온도기와 같은 다양한 사물인터넷 기기가 스파이크의 공격에 노출돼 있다.

아카마이는 현재까지 감염된 기기 가운데 아직 사물인터넷 기기는 없었다고 밝혔다. 하지만 스파이크의 개발자들이 ARM과 리눅스를 대상으로 한 바이너리 페이로드까지 포함시킨 것을 감안했을 때, 앞으로 사물인터넷 기기가 공격받을 가능성은 존재한다. 페르난데즈는 이에 대해 “사물인터넷 기기는 앞으로 스파이크와 같은 디도스 공격의 대상이 될 수 있다”고 경고했다.

이 외에도 스파이크는 동시에 다양한 형식의 디도스 공격을 할 수 있다는 점에서 차이가 난다. 예를 들어, 공격자는 스파이크를 통해 4개의 서로 다른 커맨드-컨트롤 서버를 사용해 하나의 SYN이나 UDP, GET, 그리고 DNS 쿼리를 공격할 수 있다.

아카마이는 스파이크가 중국어로 쓰였다는 것을 감안해 진원지를 아시아로 보고 있다.

스파이크를 차단하기 위해 기업은 접근 제한 목록을 열어보고자 공격 당한 인프라를 추가할 수 있다. 애플리케이션 단에서 공격을 차단하기 위해 아카마이는 SNORT를 배포했다. SNORT는 오픈소스 네트워크 침입 탐지 및 방지 시스템으로 쓰이고 있다.

아카마이는 이 외에도 각종 보안 패치를 최신 버전으로 업데이트할 것과 SANS, 마이크로소프트, NIST(National Institute of Standards and Technology), OWASP(Open Web Application Security Project) 등에서 배포한 가이드를 따를 것을 권고하고 있다.

또한, 아카마이는 아직 스파이크 봇넷이 초기 단계에 있는 만큼, 감염 시스템 청소를 위해 보안 업체 및 관련 정부 기관 등 많은 보안 연구 커뮤니티에게 적극적으로 협조를 요청하고 있다. 아카마이는 “만약 보안 커뮤니티들이 적극적으로 대처하지 않는다면 스파이크 봇으로 인한 감염은 더욱 확산될 것”이라고 경고했다

원문보기: 

http://www.ciokorea.com/tags/13301/%EC%8A%A4%ED%8C%8C%EC%9D%B4%ED%81%AC/22439#csidx3a83816c27b2e169580a2541f1580b6