Web安全是一個(gè)大課題，在網(wǎng)絡(luò)安全事件中，針對Web的攻擊是最多的。

從一些html標(biāo)簽，到JS代碼安全問題，然后到接口、數(shù)據(jù)庫，以及流量攻擊、模擬請求、自動(dòng)化攻擊等等，很多很多。

本文簡單的聊聊常見的網(wǎng)絡(luò)攻擊防御方式。

一、DDOS

DDOS最常見，也是最難防御。目前還沒有人敢說能徹底防御DDOS。

DDoS就是流量攻擊。

由于DDoS攻擊往往采取合法的數(shù)據(jù)請求技術(shù)，再加上傀儡機(jī)器，造成DDoS攻擊成為最難防御的網(wǎng)絡(luò)攻擊之一。

如何基礎(chǔ)防御：

1. 對頻繁請求的ip和接口進(jìn)行限流，熔斷處理，超過多少次必須輸入圖形驗(yàn)證碼。

進(jìn)行驗(yàn)證處理可，減輕服務(wù)器數(shù)據(jù)庫處理壓力。

其實(shí)現(xiàn)在很多大公司都是把一下接口放在一個(gè)項(xiàng)目里面進(jìn)行rpc遠(yuǎn)程調(diào)用處理。通過分布式緩存，分布式一致性問題，分布式事務(wù)來解決這些問題。

2. 使用黑名單和白名單機(jī)制，防御攻擊（OAuth2.0協(xié)議）這個(gè)推薦使用。

這個(gè)黑名單白名單就是現(xiàn)在很多代理網(wǎng)站來給你處理網(wǎng)站的安全性，也算是給你防御網(wǎng)站吧。

3. 選擇高防數(shù)據(jù)中心：

國內(nèi)數(shù)據(jù)中心一般都會(huì)有防火墻防御，我們今天把防火墻情況分為兩種：

集群防御，單線機(jī)房防御一般在：10G-32G的集群防御，BGP多線機(jī)房一般為：10G以內(nèi)集群防火墻。

獨(dú)立防御，獨(dú)立防御都是出現(xiàn)在單線機(jī)房，或者是多線多ip機(jī)房，機(jī)房防御能力一般為：10G-200G不等，這種機(jī)房是實(shí)現(xiàn)的單機(jī)防御能力，隨著數(shù)據(jù)中心的防御能力提高還有就是競爭壓力比較大，高防的價(jià)格也在不斷的創(chuàng)造新低。

4. CDN內(nèi)容分發(fā)：

通過CDN防御的方式：CDN技術(shù)的初衷是提高互聯(lián)網(wǎng)用戶對網(wǎng)站的訪問速度，但是由于分布式多節(jié)點(diǎn)的特點(diǎn)，又能夠?qū)Ψ植际骄芙^攻擊流量產(chǎn)生稀釋的效果。所以目前CDN防御的方式不但能夠起到防御的作用，而且用戶的訪問請求是到最近的緩存節(jié)點(diǎn)，所以也對加速起到了很好的作用。

CDN防御的最重要的原理：通過智能DNS的方式將來自不同位置的流量分配到對應(yīng)的位置上的節(jié)點(diǎn)上，這樣就讓區(qū)域內(nèi)的節(jié)點(diǎn)成為流量的接收中心，從而將流量稀釋的效果，在流量被稀釋到各個(gè)節(jié)點(diǎn)后，就可以在每個(gè)節(jié)點(diǎn)進(jìn)行流量清洗。從而起到防御作用。

目前針對DDOS流量攻擊的防護(hù)方法中CDN防御也分為自建CDN防御，這種情況防御能力較好，但是成本較高，需要部署多節(jié)點(diǎn)，租用各個(gè)節(jié)點(diǎn)服務(wù)器，如果應(yīng)用較少的話，造成資源浪費(fèi)。另外就是租用別人現(xiàn)成的CDN防御，可以極大的節(jié)省成本，并且防御能力很少非常好。