好未来平台面临高并发考试场景，如何设计系统以抵御DDoS攻击，同时保证正常用户访问？

好未来安全攻防难度：困难

答案

1) 【一句话结论】采用“分层防御体系”，结合CDN流量清洗、负载均衡限流、Web应用防火墙规则过滤、业务层熔断降级，从网络层到应用层再到业务层逐级拦截和缓解DDoS攻击，同时通过动态调整策略保证正常用户访问。

2) 【原理/概念讲解】首先解释DDoS攻击类型：Volumetric（如UDP flood）消耗带宽；Protocol（如SYN flood）消耗连接资源；Application（如CC攻击，模拟正常请求）。防御需分层：

网络层：CDN的流量清洗（如黑洞过滤，将异常流量导向清洗中心），负载均衡器的黑洞路由（将异常IP或流量丢弃）。
应用层：WAF（如ModSecurity）检测恶意请求，阻断SQL注入、XSS等；限流策略（如令牌桶算法，控制请求速率，防止突发流量）。
业务层：熔断降级（如Hystrix），当请求超时或错误率过高时，暂时停止服务，避免雪崩效应。
类比：就像城市交通，CDN是外围的收费站（过滤异常车辆），负载均衡是主干道分流（限流），WAF是检查站（拦截违规车辆），业务熔断是紧急出口（避免拥堵扩大）。

3) 【对比与适用场景】

防御手段	定义	特性	使用场景	注意点
CDN	内容分发网络	负载均衡，缓存静态资源	静态资源加速，缓解源站压力	需要配置缓存策略，动态内容需回源
WAF	Web应用防火墙	检测并阻断恶意请求	防止SQL注入、XSS等	需要更新规则，可能误报
负载均衡（如Nginx）	负载分发	限流、健康检查	分发请求，保障服务可用性	需合理配置限流阈值，避免正常请求被限流
业务熔断	服务降级	动态控制服务调用	防止服务雪崩	需设置熔断阈值，攻击结束后恢复

4) 【示例】以Nginx负载均衡为例，配置限流：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=100r/s;
    server {
        listen 80;
        location / {
            limit_req zone=one;
            # 后续业务逻辑
        }
    }
}

这表示每秒允许1000个请求，超过则返回429（Too Many Requests），由CDN或WAF进一步处理异常流量。

5) 【面试口播版答案】面试官您好，针对高并发下的DDoS防御，我会采用分层防御策略，从网络层到应用层再到业务层逐级处理。首先，部署CDN（如阿里云的WAF+CDN），利用其流量清洗功能，将异常流量（如SYN flood、UDP flood）导向清洗中心，过滤后仅将正常流量回源到源站。接着，在源站前端部署负载均衡器（如Nginx），通过令牌桶算法实现限流，比如每秒允许1000个请求，超过则返回429，避免源站过载。同时，配置Web应用防火墙（WAF），使用预定义规则（如SQL注入、XSS）拦截恶意请求，并配合业务层熔断机制，当请求超时或错误率超过阈值时，暂时停止服务，防止雪崩。这样，正常用户请求能通过CDN加速和负载均衡分发，而攻击流量被逐级拦截，保证系统稳定。

6) 【追问清单】

问题1：如何区分不同类型的DDoS攻击（如Volumetric vs Protocol vs Application）？
回答要点：Volumetric是流量过大（如UDP flood），Protocol是消耗连接资源（如SYN flood），Application是模拟正常请求（如CC攻击），需结合流量特征（如包类型、请求频率、来源IP分布）判断。
问题2：如何处理慢速攻击（如低速率持续请求）？
回答要点：慢速攻击会绕过限流，此时需结合请求时长限制（如超时时间），或使用慢速攻击防护策略（如检测请求处理时间，超过阈值则丢弃）。
问题3：如何动态调整限流阈值？
回答要点：通过监控系统（如Prometheus+Grafana）实时收集请求速率、错误率等指标，当检测到攻击时，自动提高限流阈值（如从100r/s提升到500r/s），攻击结束后恢复原阈值。
问题4：正常用户被误限流怎么办？
回答要点：设置白名单（如IP白名单），将正常用户IP加入白名单，避免限流；同时，对限流后的请求进行重试（如指数退避），或提供备用服务（如静态资源缓存）。

7) 【常见坑/雷区】

坑1：仅依赖单一防御手段（如仅用限流），未分层处理，导致攻击绕过。
坑2：限流策略选择不当（如固定窗口），导致突发流量时响应慢，正常用户体验差。
坑3：未考虑业务层熔断，导致服务雪崩。
坑4：CDN配置不当（如缓存策略），导致正常动态内容无法回源，影响用户体验。
坑5：未监控攻击指标，无法及时调整策略。