Web安全是一個(gè)大課題，在網(wǎng)絡(luò)安全事件中，針對(duì)Web的攻擊是最多的。

從一些html標(biāo)簽，到JS代碼安全問(wèn)題，然后到接口、數(shù)據(jù)庫(kù)，以及流量攻擊、模擬請(qǐng)求、自動(dòng)化攻擊等等，很多很多。

本文簡(jiǎn)單的聊聊常見(jiàn)的網(wǎng)絡(luò)攻擊防御方式。

一、DDOS

DDOS最常見(jiàn)，也是最難防御。目前還沒(méi)有人敢說(shuō)能徹底防御DDOS。

DDoS就是流量攻擊。

由于DDoS攻擊往往采取合法的數(shù)據(jù)請(qǐng)求技術(shù)，再加上傀儡機(jī)器，造成DDoS攻擊成為最難防御的網(wǎng)絡(luò)攻擊之一。

如何基礎(chǔ)防御：

1. 對(duì)頻繁請(qǐng)求的ip和接口進(jìn)行限流，熔斷處理，超過(guò)多少次必須輸入圖形驗(yàn)證碼。

進(jìn)行驗(yàn)證處理可，減輕服務(wù)器數(shù)據(jù)庫(kù)處理壓力。

其實(shí)現(xiàn)在很多大公司都是把一下接口放在一個(gè)項(xiàng)目里面進(jìn)行rpc遠(yuǎn)程調(diào)用處理。通過(guò)分布式緩存，分布式一致性問(wèn)題，分布式事務(wù)來(lái)解決這些問(wèn)題。

2. 使用黑名單和白名單機(jī)制，防御攻擊（OAuth2.0協(xié)議）這個(gè)推薦使用。

這個(gè)黑名單白名單就是現(xiàn)在很多代理網(wǎng)站來(lái)給你處理網(wǎng)站的安全性，也算是給你防御網(wǎng)站吧。

3. 選擇高防數(shù)據(jù)中心：

國(guó)內(nèi)數(shù)據(jù)中心一般都會(huì)有防火墻防御，我們今天把防火墻情況分為兩種：

集群防御，單線(xiàn)機(jī)房防御一般在：10G-32G的集群防御，BGP多線(xiàn)機(jī)房一般為：10G以?xún)?nèi)集群防火墻。

獨(dú)立防御，獨(dú)立防御都是出現(xiàn)在單線(xiàn)機(jī)房，或者是多線(xiàn)多ip機(jī)房，機(jī)房防御能力一般為：10G-200G不等，這種機(jī)房是實(shí)現(xiàn)的單機(jī)防御能力，隨著數(shù)據(jù)中心的防御能力提高還有就是競(jìng)爭(zhēng)壓力比較大，高防的價(jià)格也在不斷的創(chuàng)造新低。

4. CDN內(nèi)容分發(fā)：

通過(guò)CDN防御的方式：CDN技術(shù)的初衷是提高互聯(lián)網(wǎng)用戶(hù)對(duì)網(wǎng)站的訪(fǎng)問(wèn)速度，但是由于分布式多節(jié)點(diǎn)的特點(diǎn)，又能夠?qū)Ψ植际骄芙^攻擊流量產(chǎn)生稀釋的效果。所以目前CDN防御的方式不但能夠起到防御的作用，而且用戶(hù)的訪(fǎng)問(wèn)請(qǐng)求是到最近的緩存節(jié)點(diǎn)，所以也對(duì)加速起到了很好的作用。

CDN防御的最重要的原理：通過(guò)智能DNS的方式將來(lái)自不同位置的流量分配到對(duì)應(yīng)的位置上的節(jié)點(diǎn)上，這樣就讓區(qū)域內(nèi)的節(jié)點(diǎn)成為流量的接收中心，從而將流量稀釋的效果，在流量被稀釋到各個(gè)節(jié)點(diǎn)后，就可以在每個(gè)節(jié)點(diǎn)進(jìn)行流量清洗。從而起到防御作用。

目前針對(duì)DDOS流量攻擊的防護(hù)方法中CDN防御也分為自建CDN防御，這種情況防御能力較好，但是成本較高，需要部署多節(jié)點(diǎn)，租用各個(gè)節(jié)點(diǎn)服務(wù)器，如果應(yīng)用較少的話(huà)，造成資源浪費(fèi)。另外就是租用別人現(xiàn)成的CDN防御，可以極大的節(jié)省成本，并且防御能力很少非常好。

責(zé)任編輯：ct