DDOS攻击 - 宁静的Web服务

Question

您能否列出一些策略甚至已经应用的方法来预防/保护/最小化对Restful Web Services的DDOS攻击？

谢谢.

Answer 1

在您的API前放置一个类似Squid或Varnish的HTTP缓存,并在您关注的任何资源上放置一个小的max-age标头.即使最大使用期限为1秒,也会阻止您的API因该资源每秒被击中一次以上.

虽然这提供了基本保护,但是大型DDOS网络可能很容易拥有几千个节点.更好的方法是将每个源IP的请求限制为合理的值,阻止超过此突发限制的IP连续多次. (3认同)

Answer 2

启用Web缓存可以缓解对GET请求的DoS攻击.但另一种常见的DoS攻击类型是在HTTP POST方法中发送大量数据.要缓解此类DoS,最好在Web服务器或应用程序服务器中设置PostTimeoutSecs,MaxPostTimeSecs,MaxPostSize设置.参数名称因服务器而异.

话虽这么说,添加Web缓存和设置POST请求限制是防止DoS攻击的非常基本的方法.为了更有效地抵御DoS攻击,您可以考虑使用Web Application Firewall等解决方案.请访问OWASP网站,查看市场上的WAF产品列表,包括一些开源选项.

Answer 3

除非您是一个拥有大量活跃用户和收入的大型部署，否则我认为除了基本措施外，您无法证明任何事情是合理的。

相反，请确保您有信心及时知道您的系统受到攻击（通过监控 CPU/内存/每秒请求数）。

如果您认为自己受到攻击，请向托管您的服务器的任何人寻求帮助。

我很想听听其他意见，但我认为任何自己动手的方法几乎总是注定要失败。几乎无论你做什么，上游提供的链接都可能饱和，这意味着有时唯一可以做某事的人是你服务器的上游——而不是你。