Смотря что там за API у тебя. Вообще от самых абсурдных атак на канал берут обычно сторонний реверс прокси по типу cloudflare, ddos-guard, stormwall, qrator и прочее.
Но чаще всего это только пол беды. Остальные пол беды это уже более сложные атаки на приложение. Допустим у тебя какая-нибудь доска объявлений по продаже автомобилей, там куча фильтров, пагинация, и все прочее. Так вот на этот запрос к API и будет давить атакующий.
Вообще cloudflare дырявый в этом случае очень, он пропускает почти все. ddos-guard справляется частично, остальные вроде как тоже (слышал от людей, сам не юзал). Тут нужно понимать что на бесплатных или дешевых тарифах могут прошибать, на более дорогих тарифах защиты есть индивидуальная поддержка и фильтры, то есть инженеры почти в реалтайме будут отражать атаку на твой сервис если стандартные средства защиты не справляются.
Но также помимо защитников от атак это еще и битва сторон (атакующего и атакуемого), а еще точнее битва железом. У кого больше мощностей. Даже возьмем тот же самый случай с доской объявлений по продаже автомобилей. Есть куча способов как реализовать это, оптимизировать и все прочее. То есть если у тебя само приложение хорошо спроектировано и реализовано, есть оптимизация то атаку держать будет гораздо проще. Ну и конечно же тут играет роль твоя инфраструктура. Если сервак, на котором крутится приложение имеет ширину канала 100 мбит, 4 ядра и 4 гб RAM, то будет одна ситуация, а если ширина канала 10 гбит, 2 процессора по 32 ядра и 256 гб RAM то это уже совсем другая ситуация. Это конечно все очень образно, в реальности будет не один сервер, а несколько, а то и десятки и сотни серверов, каждый из которых состоит в группе, отвечающей за свою задачу, например за балансировку нагрузки, если нет managed балансировщика, за фронтэнд, за бекэнд, за базу, за кеш, за поиск и т. д.