设计一个针对高并发DDoS攻击的防护系统，需要考虑流量清洗、负载均衡、会话保持等，请描述系统架构、关键组件（如WAF、CDN、反向代理）以及如何实现这些防护措施。

1) 【一句话结论】
采用“流量层清洗+应用层防护+业务层负载均衡”的三层防御架构，通过CDN（流量清洗与缓存）、WAF（应用层规则过滤）、反向代理（负载均衡与会话保持）协同，从网络、应用、业务层面层层拦截高并发DDoS攻击，确保系统在高负载下稳定运行。

2) 【原理/概念讲解】
首先解释DDoS攻击类型：

• 流量型攻击（如UDP flood、ICMP flood）：通过海量流量淹没网络带宽，消耗服务器网络资源。
• 协议型攻击（如SYN flood、ACK flood）：利用TCP/UDP协议漏洞，伪造大量请求消耗服务器连接资源（如SYN flood消耗服务器TCP连接池）。
• 应用型攻击（如CC攻击、SQL注入）：模拟正常用户请求或利用应用逻辑漏洞，消耗应用服务器资源。

各组件作用：

• CDN（内容分发网络）：部署全球边缘节点，缓存静态资源（图片、JS文件），将用户请求引导至最近节点，减少源站压力；边缘节点可执行初步流量清洗（如限速阈值100请求/秒、黑名单IP过滤，如禁止恶意IP访问）。
• WAF（Web应用防火墙）：部署在反向代理后，基于规则（如SQL注入检测规则：' or 1=1 --、XSS检测规则：<script>、CC攻击限速规则：同一IP请求超1000次/分钟则拦截）过滤恶意请求；同时配置协议型攻击检测（如SYN flood阈值，超过则拦截）。
• 反向代理（如Nginx、HAProxy）：实现负载均衡（采用最少连接算法，优先分发至当前连接数最少的服务器，避免服务器过载），通过cookie或session ID实现粘性会话（如设置session_id=abc123，将用户请求固定到某台服务器，确保会话一致性）；服务器故障时，通过Redis共享存储同步会话数据，恢复用户会话。

类比：CDN像“城市交通的快速路入口”，提前把热门资源存到离用户近的节点，减少主干道压力；WAF像“机场安检的专家”，检查每个请求是否合规（如是否有恶意代码）；反向代理像“智能调度员”，根据服务器负载情况分配请求，同时记住每个乘客的登机口（会话保持），确保乘客（用户）的行程（请求）不中断。

3) 【对比与适用场景】

组件	定义	核心功能	使用场景	注意点
CDN	内容分发网络	边缘缓存、负载均衡、初步流量清洗（限速、黑名单）	静态资源分发、缓解流量型DDoS（如UDP flood）	需与源站解耦，缓存策略影响资源更新效率（如CDN缓存静态资源，更新时需清除缓存）
WAF	Web应用防火墙	应用层规则过滤（SQL注入、XSS、CC、协议型攻击检测）	应用层攻击防护（如CC攻击、SQL注入、SYN flood检测）	规则库需定期更新（如0-day漏洞规则），可能误报（需白名单优化）
反向代理	如Nginx、HAProxy	负载均衡（最少连接、加权轮询）、会话保持、请求转发	高并发请求分发、应用层负载均衡	负载均衡算法选择影响性能（如高并发下最少连接更优），会话保持需一致性（故障恢复策略）

4) 【示例】
请求流程伪代码（包含协议型攻击防御）：

客户端请求：GET /login?username=admin&password=123
处理流程：  
1. CDN边缘节点：  
   - 检查黑名单：IP 192.168.1.1在黑名单中，丢弃请求。  
   - 限速：当前IP请求速率110次/秒 > 阈值100次/秒，丢弃。  
   - 缓存静态资源：/login.html已缓存，直接返回静态文件。  
2. WAF处理：  
   - SQL注入检测：参数password中包含' or 1=1 --，触发规则，拦截。  
   - SYN flood检测：当前IP SYN请求速率1200次/秒 > 阈值1000次/秒，拦截。  
3. 反向代理分发：  
   - 服务器1连接数50，服务器2连接数30，服务器3连接数20（最少连接算法），分发至服务器3。  
   - 粘性会话：设置cookie session_id=abc123，固定用户请求到服务器3。  
4. 应用服务器处理：  
   - 服务器3验证登录成功，返回页面。  

5) 【面试口播版答案】
（约90秒）
“面试官您好，针对高并发DDoS攻击，我设计的防护系统采用分层防御架构。首先，通过CDN边缘节点实现流量清洗与缓存，将用户请求引导至最近节点，减少源站压力，边缘节点可执行初步限速（每秒100请求）和黑名单过滤（恶意IP列表）。接着，部署WAF在反向代理后，基于应用层规则（如SQL注入检测、CC攻击限速）过滤恶意请求，同时配置协议型攻击检测（如SYN flood阈值拦截）。反向代理采用最少连接算法（优先分发至负载较轻的服务器），并通过粘性会话（session_id）保持用户会话，服务器故障时通过Redis同步会话数据恢复。多组件协同，从流量层、应用层到业务层层层防御，有效应对流量型、协议型和应用型DDoS攻击。”

6) 【追问清单】

• 问：负载均衡算法选择？为什么选最少连接？
  回答要点：最少连接算法在高并发下更优，能优先分发至当前连接数最少的服务器，避免某台服务器因连接过多而过载，保证系统整体性能。
• 问：会话保持的机制？如何保证服务器故障时的会话一致性？
  回答要点：通过Redis等共享存储同步会话数据，确保用户请求切换到其他服务器后，仍能访问之前的会话状态（如登录状态、购物车内容）。
• 问：如何处理协议型DDoS攻击（如SYN flood）？具体配置有哪些？
  回答要点：结合WAF的协议规则（如SYN flood阈值）和反向代理的tcp_syncookies参数（如Nginx的tcp_syncookies=on），缓解SYN flood攻击。
• 问：流量清洗的误报如何控制？实际效果如何？
  回答要点：通过白名单、阈值动态调整（根据正常流量模式自适应），降低误报率；实际案例：某网站误报率从5%降至1%。
• 问：CDN与WAF的联动？如何实现？
  回答要点：通过API或配置联动，CDN拦截恶意流量后，WAF进一步过滤，或WAF标记异常流量，CDN调整该IP的限速策略，形成协同防护。

7) 【常见坑/雷区】

• 坑1：忽略协议型DDoS攻击，仅考虑流量型，导致系统对SYN flood等攻击无防御。
• 坑2：负载均衡算法选择不当（如高并发下用轮询导致服务器过载）。
• 坑3：会话保持粒度过大/过小，影响用户体验。
• 坑4：WAF规则库未定期更新，无法应对新型攻击。
• 坑5：流量清洗误报导致正常用户请求被拦截。