DDOS\CC流量攻击

一. DDOS攻击

简单说就是瞬间有大量请求访问接口. 导致网站无法正常访问甚至出现短暂的关闭

DDOS攻击原理

简单的ddos攻击: 写个死循环一直调用被攻击方接口, 导致被攻击方请求连接数量或QPS达到最大值;

真正的ddos攻击: 

通常，攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上，并在网络上的多台计算机上安装代理程序 (例如下载非官方程序时携带的病毒DDOS程序) 。在所设定的时间内，主控程序与大量代理程序进行通讯，代理程序收到指令时对目标发动攻击，主控程序甚至能在几秒钟内激活成百上千次代理程序的运行。

DDoS攻击是利用网络上被攻陷的电脑作为“肉鸡”，通过一定方式组合形成数量庞大的“僵尸网络”，采用一对多的方式进行控制，向目标系统同时提出服务请求，超出服务器的承载量，导致服务器崩溃的攻击技术。

如何防御DDOS

1. 添加接口限流

2. 网关设置同一个ip段一秒只能访问3次, 超过后添加黑名单或出现弹框二维码验证是否为机器人,

2.1. nginx可以配置同一ip一秒内请求不能超过多少次.

2.2. gateway网关同样可以设备.

2.3. 将黑名单用户通过布隆过滤器维护, 查询效率高.

二. CC流量攻击

理解cc攻击原理

其目的都是通过控制大量的请求，访问受害主机的合法网页或接口，导致服务端无法正常响应，服务器CPU长时间处于100%状态，网络带宽被占满，数据库被拖死等情况。

简单的说，当你的饭馆被恶意cc攻击时，突然来了很多客人，他们虽然不爬窗不抄后门，但是仍然把你的大门给挤满堵死，真正的客人无法进入，人又多，饭馆的服务员忙不过来，最后歇菜。

这种攻击技术性含量高，见不到真实源IP，见不到特别大的异常流量，但服务器就是无法进行正常连接。所以cc攻击成本也相对高一些，如果不是真的有什么深仇大恨，一般不会持续多久。

 如何防御CC流量攻击

此时限流就不好用了, 用户可能N台不同IP网段来进行攻击, 此时通过限流就不太够用了.而且攻击大都是用的海外IP所以不好控制.

解决: 购买高防服务器 (价格高)

高防服务器原理

对外网隐藏服务器真实IP, 通过高防服务器代理到真实服务器中,如下图所示,

此时用户通过ping域名得到的ip地址是高防服务器的ip地址, 是无法得到真实服务器地址的.

所以高防服务器承担了DDOS\CC的攻击,并对攻击进行处理, 处理的方式的弹出验证码,让用户验证,验证通过后才会将请求转发到代理的真实服务器上; 

高防服务器拦截过程图:

 高防服务器能提供高带宽，精准可靠的DDoS流量清洗功能，可有效防护各类ddos攻击、应用层攻击等。流量清洗集群可实现精准流量清洗功能，支持CC防护。