¿Cómo defenderse de los ataques CC?
Para los ataques CC, su defensa debe adoptar una variedad de métodos, y estos métodos esencialmente mejoran la capacidad de concurrencia del servidor.
1. Expansión vertical y horizontal del servidor
Este es el método más simple si los fondos lo permiten. En esencia, este método no está dirigido a ataques CC, sino que mejora la capacidad del servicio. para manejar la concurrencia, pero mejora la capacidad de carga de los ataques CC. Expansión vertical: se refiere a aumentar las capacidades de hardware de cada servidor, como actualizar la CPU, aumentar la memoria, actualizar las unidades de estado sólido SSD, etc. Expansión horizontal: se refiere a aumentar la capacidad de carga agregando servidores que brinden servicios. La expansión y expansión anterior se puede realizar en todos los niveles del servicio, incluidos: servidor de aplicaciones, servidor de bases de datos, servidor de caché, etc.
2. Almacenamiento en caché de datos
Para datos en servicios que son altamente seguros, reutilizables por múltiples usuarios o reutilizables varias veces por un solo usuario, una vez recuperados de la base de datos, o después del cálculo. , es mejor colocarlo en el caché. Las solicitudes posteriores pueden obtener los datos directamente del caché, lo que reduce la presión de recuperación de la base de datos y la presión informática del servidor de aplicaciones, y puede devolver rápidamente los resultados y liberar el proceso. por lo tanto también puede aliviar la presión de la memoria del servidor. Cabe señalar que el caché no debe estar en forma de archivo. Puede utilizar servicios de caché nosql basados en memoria, como redis y mem-cached, y separarlos del servidor de aplicaciones e implementarlos por separado en la red de área local. La IO de red dentro de la LAN es definitivamente mayor que la IO de disco. Para evitar que la red de área local se convierta en un cuello de botella, también es necesaria una red gigabit.
3. Estatización de página
Igual que el almacenamiento en caché de datos, los datos de la página son esencialmente datos. Un método común es generar archivos de página html estáticos y utilizar la función de almacenamiento en caché del navegador del cliente o el servidor. El servicio de almacenamiento en caché lateral, así como el servicio de almacenamiento en búfer del nodo CDN, pueden reducir la recuperación de datos y la presión de cálculo en el lado del servidor, responder rápidamente a los resultados y liberar el proceso de conexión.
4. Límite de frecuencia de llamadas a nivel de usuario
No importa si el servicio ha iniciado sesión o no, se puede asignar una identificación de identificación única al cliente según la sesión y otros métodos. El servidor El sid se puede almacenar en el caché. Cuando el cliente solicita un servicio, si no hay un SID, el servidor rápidamente asigna uno y lo devuelve. Si es posible, esta solicitud no necesita devolver datos, o el SID se asignará independientemente del servicio comercial. Cuando el cliente realiza una solicitud con un SID válido, se puede limitar la frecuencia del cliente según el SID. Para solicitudes con SID ilegal, el servicio será directamente denegado. En comparación con la limitación de frecuencia basada en IP, la limitación de frecuencia basada en SID es más precisa y controlable y puede evitar muertes accidentales en la mayor medida.
5. Restricciones de IP
Finalmente, las restricciones de IP aún se pueden usar junto con las reglas anteriores, pero se pueden reenviar al firewall o al equilibrador de carga de la capa JCb, y Puede aumentar el umbral de restricción para evitar que el acceso malicioso penetre en el servidor de aplicaciones y ejerza presión sobre el servidor de aplicaciones.