防禦的第一步是建立完整可觀測性：在入口收集 RPS、延遲、錯誤率與來源 IP 分佈，並在 n8n 層記錄 workflow queue 長度、worker 利用率與每個 workflow 的平均執行時間。把這些資料送到 Prometheus / CloudWatch 類的時間序列庫，並在 Grafana 建 dashboard 以利即時判讀。

在最靠近入口（API Gateway / Layer-7 LB）實施速率限制，採用令牌桶（token bucket）或漏桶（leaky bucket）演算法來平滑突發流量；同時建立動態黑白名單：對短時間內觸發高錯誤率或大量請求的 IP/範圍自動暫時封鎖，並記錄封鎖原因與持續時間。引入 per-key / per-user 行為基線能更精準分辨高流量合法用戶與攻擊來源。

測試（k6 / Locust ）

1. Burst（瞬間爆發）：模擬短時間內從 1 → 1000 RPS 的突發，觀察 queue 長度、P95 latency、error rate。
2. Sustained flood（持續洪流）：模擬 10 分鐘內持續高 RPS，檢查 downstream 呼叫數與成本暴增。
3. Credential stuffing：使用大量不同帳號/token 嘗試登入或觸發 webhook，模擬被盜憑證濫用。
4. Slow-drip / Low-and-slow：長時間每秒少量請求但維持長時間，驗證防護是否能識別行為模式。