DDOS攻击 - 宁静的Web服务

作者: ！啊啊
发布时间: 2024-12-19 12:29:52 (1月前)
转自：

6 条回复

0#
回复此人
Minions | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 让CDN成为围绕您不断增长的REST API集的保护屏障。 <a href =“https://community.akamai.com/community/web-performance/blog/2016/05/27/offloading-magento-2-api-authentication-to-akamais-edge"rel =”nofollow“ > 这是一个示例用法。 </A> </p> </DIV>

编辑
1#
回复此人
v-star*위위 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 除非你是一个拥有大量活跃用户和收入的大型部署，否则我认为除了基本措施之外你不能证明任何理由。 </p> <P> 相反，请确保您确信您将及时了解您的系统受到攻击（通过监视CPU /内存/请求每秒）。 </p> <P> 如果您认为自己受到攻击，请询问托管服务器的任何人。 </p> <P> 我很想听到另一种观点，但我认为任何自己动手的方法几乎总是注定要失败。几乎无论你做什么，上游提供的链接都可能已经饱和，这意味着有时唯一可以做某事的人就是服务器的上游 - 而不是你。 </p> </DIV>

编辑
2#
回复此人
陆离 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 启用Web缓存可以缓解对GET请求的DoS攻击。但另一种常见的DoS攻击类型是在HTTP POST方法中发送大量数据。要缓解此类DoS，最好在Web服务器或应用程序服务器中设置PostTimeoutSecs，MaxPostTimeSecs，MaxPostSize设置。参数名称因服务器而异。 </p> <P> 话虽这么说，添加Web缓存和设置POST请求限制是防止DoS攻击的非常基本的方法。为了更有效地抵御DoS攻击，您可以考虑使用Web Application Firewall等解决方案。请访问 <a href="https://www.owasp.org/index.php/Web_Application_Firewall" rel="noreferrer"> OWASP </A> 市场上的WAF产品列表，包括一些开源选项。 </p> </DIV>

编辑
3#
回复此人
Minions | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 在您的API前放置一个类似Squid或Varnish的HTTP缓存，并在您关注的任何资源上放置一个小的max-age标头。即使最大使用期限为1秒，也会阻止您的API因该资源每秒被击中一次以上。 </p> </DIV>

编辑
4#
回复此人
Minions | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 的<strong> DDoS攻击 </强> 攻击利用应用程序中的弱点，这是由于代码异常（例如内存泄漏，更长的会话时间，占用高CPU周期的边界条件）而形成的。会话时间对于RESTFul Web服务可能无效，因为它们被认为具有无状态响应。但是，以下步骤可能有所帮助。 </p> <P> 的<strong> 开发/编码视角 </强> </p> <UL> <LI> 配置文件应用程序用例用于内存泄漏，尤其是在例外的负面测试用例场景中。内存中的资源越长，影响就越大。尽早释放资源。 </LI> <LI> 在请求本身开始时响应负面情景，例如在我们执行数据库调用的任何业务逻辑之前，需要验证属性或有效负载。在基于Spring的java应用程序中，拦截器将是apt。 </LI> <LI> 实施结构化日志以审核请求，这些请求可以在发生任何攻击时帮助进行模式分析 </LI> <LI> 对于post / put / delete类型的操作，这些操作可能只能从指定的客户端（Web应用程序/移动应用程序等）实现验证码（如google Iam不是机器人），并在处理请求之前验证REST API级别的验证码令牌。 </LI> </UL> <P> 的<strong> 运营视角 </强> </p> <UL> <LI> 为CPU，内存，网络设置监控和警报流量，应用程序容器的内部结构，如堆使用等。 </LI> </UL> <P> 的<strong> 基础设施观点 </强> </p> <UL> <LI> 添加一个Web应用程序防火墙，可以识别源自机器人的虚假流量，并应用某种程度的控制请求的速率 </LI> <LI> 如果可能，使用CDN系统为可能不会经常更改的实体获取请求设置缓存。 </LI> <LI> 针对网络流量，服务器CPU，内存等设置自动扩展基础架构，以便流量峰值无法关闭任何应用程序节点。选择基于云的基础设施将有所帮助。 </LI> </UL> </DIV>

编辑

登录后才能参与评论