@哈哈鱼
2年前 提问
1个回答

云原生安全防御DDOS的措施有哪些

一颗小胡椒
2年前

云原生安全防御DDOS的措施有以下这些:

  • 触发器的配置以最小原则:能不配置的就不配置,如API网关触发,能只配POST的就只配POST,能用POST就不要GET。API网关触发里url、协议都全匹配才能成功调用,不成功的调用不收费。

  • 保护好APIKEY:千万不要在客户端进行保存,不要使用静态KEY,转而使用最小权限和有时效的临时KEY,以规避KEY泄露而导致被通过SDK调用,云平台的任何安全措施基本都无法抵御这种攻击。

  • 增加API网关鉴权:虽然鉴权其实无法规避模拟业务流量的这种高级攻击,但是时效的限制起码可以很大提升攻击的门槛,大部分的团伙就是租用第三方攻击工具发起攻击的,鉴权就可以把这些攻击全部直接过滤掉。

  • 应该监测异常调用:如API的调用顺序等,胡乱顺序的调用必然是异常的,此时不应该给予返回信息,一来返回数据会产生额外费用,二来会让攻击者感知到攻击的效果,注意通过API网关触发的云函数,即便我们直接终止了程序的执行,依然会返回一定的数据。

  • 减少数据库读取量:读取数据库是攻击重点,对方不会攻击静态页面等功能,没有战略价值。企业负责业务安全和数据安全,token多存储在数据库这对ddos来说,本身校验token需要读取数据库占用数据库资源,那么这个操作对于攻击来说就已经生效了。

  • 高级校验:利用cls对api接口调用次序进行验证,不正常的调用顺序就是非法的。

  • 业务安全:网站核心接口保护(购物车支付订单)做好判断鉴权。攻击针对复杂接口核心接口。

  • 用日志cls可以做安全功能:节省数据库。cls本身也是数据库支持sql。