摘要:服務(wù)器垂直擴(kuò)展和水平擴(kuò)容資金允許的情況下�����,這是最簡(jiǎn)單的一種方法,本質(zhì)上講�����,這個(gè)方法并不是針對(duì)攻擊的����,而是提升服務(wù)本身處理并發(fā)的能力,但確實(shí)提升了對(duì)攻擊的承載能力�����。
今天先是看到一篇討論CC攻擊的文章:Nginx防CC攻擊��,緊接著就有同學(xué)在群里問(wèn)我關(guān)于防CC攻擊的問(wèn)題����,巧嗎�?好巧!
什么是CC攻擊�����?
CC攻擊是DDoS攻擊的一種類(lèi)型,使用代理服務(wù)器向受害服務(wù)器發(fā)送大量貌似合法的請(qǐng)求(通常使用HTTP GET)����。CC(Challenge Collapsar,挑戰(zhàn)黑洞)根據(jù)其工具命名��,攻擊者創(chuàng)造性地使用代理機(jī)制���,利用眾多廣泛可用的免費(fèi)代理服務(wù)器發(fā)動(dòng)DDoS攻擊�����。許多免費(fèi)代理服務(wù)器支持匿名模式����,這使追蹤變得非常困難��。
本來(lái)看了上面那篇文章���,覺(jué)得雖然寫(xiě)的很用心�����,還做了樣本壓測(cè)����,但僅僅做基于IP的頻率限制,從原理上來(lái)講并不實(shí)用����,為什么呢?其實(shí)��,作者自己在文末也提到了���。
雖然用limit_req_module可以在一定程度上的防止CC攻擊��,但是有誤殺概率�����;國(guó)內(nèi)寬帶用戶(hù)的IP地址已經(jīng)大量?jī)?nèi)網(wǎng)化,幾百人共享一個(gè)IP的可能性是很大的��。
做基于IP的頻率限制���,誤殺的概率確實(shí)非常大�。在國(guó)內(nèi),一個(gè)小區(qū)�����、一個(gè)公司經(jīng)常會(huì)遇到共用IP的情況����,而移動(dòng)網(wǎng)絡(luò)共用基站的設(shè)備更是容易出現(xiàn)相同的公網(wǎng)IP。
墨菲定律第一條就是:任何事物都沒(méi)有表面看起來(lái)那么簡(jiǎn)單����。何況這個(gè)看起來(lái)一點(diǎn)都不簡(jiǎn)單,怎么可能只用IP頻率限制這一種手段呢�?對(duì)于CC攻擊,其防御必須采用多種方法��,而這些方法本質(zhì)上也是在提高服務(wù)器的并發(fā)能力��。
1. 服務(wù)器垂直擴(kuò)展和水平擴(kuò)容
資金允許的情況下���,這是最簡(jiǎn)單的一種方法�,本質(zhì)上講����,這個(gè)方法并不是針對(duì)CC攻擊的����,而是提升服務(wù)本身處理并發(fā)的能力����,但確實(shí)提升了對(duì)CC攻擊的承載能力。
垂直擴(kuò)展:是指增加每臺(tái)服務(wù)器的硬件能力�����,如升級(jí)CPU��,增加內(nèi)存��,升級(jí)SSD固態(tài)硬盤(pán)等����。
水平擴(kuò)容:是指通過(guò)增加提供服務(wù)的服務(wù)器來(lái)提升承載力。
上述擴(kuò)展和擴(kuò)容可以在服務(wù)的各個(gè)層級(jí)進(jìn)行���,包括:應(yīng)用服務(wù)器�����、數(shù)據(jù)庫(kù)服務(wù)器、緩存服務(wù)器等等。
2. 數(shù)據(jù)緩存(內(nèi)存級(jí)別�,不要用文件)
對(duì)于服務(wù)中具備高度共性,多用戶(hù)可重用�,或單用戶(hù)多次可重用的數(shù)據(jù),一旦從數(shù)據(jù)庫(kù)中檢索出����,或通過(guò)計(jì)算得出后,最好將其放在緩存中��,后續(xù)請(qǐng)求均可直接從緩存中取得數(shù)據(jù)����,減輕數(shù)據(jù)庫(kù)的檢索壓力和應(yīng)用服務(wù)器的計(jì)算壓力,并且能夠快速返回結(jié)果并釋放進(jìn)程���,從而也能緩解服務(wù)器的內(nèi)存壓力���。
需要注意的是,緩存不要使用文件形式���,可以使用redis��、memcached等基于內(nèi)存的no sql緩存服務(wù)��,并且與應(yīng)用服務(wù)器分離���,多帶帶部署在局域網(wǎng)內(nèi)�����。局域網(wǎng)內(nèi)的網(wǎng)絡(luò)IO肯定比起磁盤(pán)IO要高���。當(dāng)然,為了不使局域網(wǎng)帶寬成為瓶頸�,千兆網(wǎng)絡(luò)也是有必要的。
3. 頁(yè)面靜態(tài)化
與數(shù)據(jù)緩存一樣��,頁(yè)面數(shù)據(jù)本質(zhì)上也屬于數(shù)據(jù)�,常見(jiàn)的手段是生成靜態(tài)化的html頁(yè)面文件,利用客戶(hù)端瀏覽器的緩存功能或者服務(wù)端的緩存服務(wù)�����,以及CDN節(jié)點(diǎn)的緩沖服務(wù)�,均可以降低服務(wù)器端的數(shù)據(jù)檢索和計(jì)算壓力,快速相應(yīng)結(jié)果并釋放連接進(jìn)程����。
4. 用戶(hù)級(jí)別的調(diào)用頻率限制
不管服務(wù)是有登陸態(tài)還是沒(méi)登陸態(tài)��,基于session等方式都可以為客戶(hù)端分配唯一的識(shí)別ID(后稱(chēng)作SID),服務(wù)端可以將SID存到緩存中�����。當(dāng)客戶(hù)端請(qǐng)求服務(wù)時(shí)�,如果沒(méi)有帶SID(cookie中或請(qǐng)求參數(shù)中等),則由服務(wù)端快速分配一個(gè)并返回��??梢缘脑?huà),本次請(qǐng)求可以不返回?cái)?shù)據(jù)�,或者將分配SID獨(dú)立出業(yè)務(wù)服務(wù)。當(dāng)客戶(hù)端請(qǐng)求時(shí)帶了合法SID(即SID能在服務(wù)端緩存中匹配到)��,便可以依據(jù)SID對(duì)客戶(hù)端進(jìn)行頻率限制�。而對(duì)于SID非法的請(qǐng)求,則直接拒絕服務(wù)����。
相比根據(jù)IP進(jìn)行的頻率限制,根據(jù)SID的頻率限制更加精準(zhǔn)可控���,最大程度的避免誤殺的情況��。
5. IP限制
最后�����,IP限制依然可以結(jié)合上述規(guī)則一起使用�,但是可以將其前置到外層的防火墻或負(fù)載均衡器上去做,并且可以調(diào)大限制的閾值(結(jié)合歷史統(tǒng)計(jì)數(shù)量�,預(yù)測(cè)一個(gè)極端的訪(fǎng)問(wèn)量閾值,在服務(wù)器可承受的范圍內(nèi)�,盡量避免誤傷),防止惡意訪(fǎng)問(wèn)穿透到應(yīng)用服務(wù)器上�,造成應(yīng)用服務(wù)器壓力。
掃描下方二維碼或者微信搜索[phpjiagoushier]����,關(guān)注我的微信公眾號(hào)[PHP架構(gòu)],參與互動(dòng)交流�。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/11239.html
