做業(yè)務(wù)的人，或多或少都會遇到網(wǎng)絡(luò)攻擊情況，團隊再小，也是別人的眼中釘肉中刺。

業(yè)務(wù)被無端攻擊，它的目的何在？網(wǎng)絡(luò)攻擊的目的：
1、競爭對手讓我們的業(yè)務(wù)癱瘓
2、用戶發(fā)泄行為
3、敲詐(收保護費)
.........
它的目的有很多，人家想要搞你，從來不會想什么理由的。

目前業(yè)務(wù)中遇到最多的攻擊也許是cc攻擊和ddos攻擊了。

cc主要是用來攻擊頁面的。大家都有這樣的經(jīng)歷，就是在訪問論壇時，如果這個論壇比較大，訪問的人比較多，打開頁面的速度會比較慢，訪問的人越多，論壇的頁面越多，數(shù)據(jù)庫壓力就越大，被訪問的頻率也越高，占用的系統(tǒng)資源也就相當(dāng)可觀，他是ddos攻擊的一種。

ddos攻擊通過大規(guī)模互聯(lián)網(wǎng)流量淹沒目標(biāo)服務(wù)器或其周邊基礎(chǔ)設(shè)施，以破壞目標(biāo)服務(wù)器、服務(wù)或網(wǎng)絡(luò)正常流量的惡意行為。

他們的危害就如上面所說的，占用目標(biāo)服務(wù)器大量的網(wǎng)絡(luò)資源，導(dǎo)致目標(biāo)業(yè)務(wù)無法正常運行。

那我們?nèi)绾晤A(yù)防呢？

網(wǎng)上關(guān)于這方面的資料特別多，講的也很云里霧里的。由上面可知，ddos攻擊占用的是我們的網(wǎng)絡(luò)資源而導(dǎo)致我們的服務(wù)不能正常的向正常的用戶服務(wù)，從而達到了他們的目的，從這些點出發(fā)，我簡單的聊一聊一些預(yù)防經(jīng)驗。

1、設(shè)置網(wǎng)絡(luò)防火墻（WAF），建立黑名單ip池，這種服務(wù)各種云都有對應(yīng)的服務(wù)購買，當(dāng)然也可以自己通過lua去寫，例如網(wǎng)上搜索nginx+lua+waf就會有了。
2、nginx網(wǎng)絡(luò)配置只有post請求才能通過。
3、slb負(fù)載均衡部署。
4、設(shè)置單接口請求頻次，例如1s請求10次相同接口就歸納為異常請求。
5、設(shè)置專有User-Agent(UA)，在通過WAF過濾。 上面主要是重點WAF的工作，但是攻擊者的流量都到WAF了，對應(yīng)的網(wǎng)絡(luò)資源肯定也是被占滿了的，盡管通過WAF過濾了大部分無效的請求（這些請求只是沒有進入業(yè)務(wù)層代碼）。

那此時如果遇到大規(guī)模攻擊怎么辦呢，服務(wù)也照樣停擺。
1、從域名解析入手，域名請求過來需要通過DNS進行解析才能找到對應(yīng)的ip的，我們是否可以這樣子，從電信過來的就指向電信服務(wù)器，從聯(lián)通過來的就指向聯(lián)通服務(wù)器，從移動過來的就指向移動服務(wù)器，即按線路來分配，從海外過來的就指向其他服務(wù)等，這顯然是可以的并且是有效的，尤其現(xiàn)在絕大部分ddos攻擊是海外ip的，如果做的是國內(nèi)的業(yè)務(wù)完全可以把海外ip解析到一個無效ip上，例如192.1.1.2。
2、隱藏真實業(yè)務(wù)服務(wù)器的ip地址
3、建立備用域名機制，將這個備用域名文件的地址放在一個cdn上，應(yīng)用一啟動就下載該配置文件，例如api域名正在被攻擊，我們可以將api域名指向一臺服務(wù)器，其他業(yè)務(wù)服務(wù)都釋放掉，同時修改備用域名為api1，并且把api1指向到我們業(yè)務(wù)服務(wù)器上，如果上述第二步?jīng)]有操作，還需要把業(yè)務(wù)服務(wù)器的ip切換下，畢竟有些攻擊是針對ip的。

也許我們是在好好的做業(yè)務(wù)，可就是有些人通過一些方式不斷的磨練你，鞭策你，讓你不斷的進步，網(wǎng)絡(luò)攻防也是此道理，你永遠(yuǎn)不知道對手接下來會換一個怎么樣的手段來攻擊你，而我們能做的就是被迫接招，見招拆招。