机场的航班信息系统在高峰时段（如春运）易遭受DDoS攻击，请设计一套防护方案，包括技术手段和部署位置。

1) 【一句话结论】：针对航班信息系统高峰时段的DDoS攻击，需通过“网络边界流量清洗+应用层防护+负载均衡+静态资源CDN缓存”的多层级技术方案，在入口层、网络层、应用层部署，确保系统高可用性，核心是识别并过滤异常流量，分担源站压力。

2) 【原理/概念讲解】：首先解释DDoS攻击类型：Volumetric（如UDP flood、ICMP flood，消耗带宽）、Protocol（如SYN flood，消耗服务器资源）、Application（如CC攻击，模拟正常请求耗尽服务器资源）。防护技术原理：

• 流量清洗设备（如DDoS防护设备）：通过行为分析（如流量速率、协议特征、源IP分布）识别异常流量，过滤后放行正常流量，类比“过滤网”，把垃圾流量挡在门外；
• Web应用防火墙（WAF）：部署在应用层，通过规则库（如OWASP Top 10）检测恶意请求（如SQL注入、CC攻击），阻断后记录日志；
• 负载均衡器（如LVS、Nginx）：分发请求到多台应用服务器，避免单点过载，像“交通警察”，均衡分配车流；
• CDN（如阿里云CDN）：缓存静态资源（如页面图片、CSS），用户请求从离得最近的CDN节点返回，减少源站请求量，降低源站压力。

3) 【对比与适用场景】：

技术手段	定义	特性	使用场景	注意点
CDN	内容分发网络	缓存静态资源，就近返回	航班信息系统的静态页面、图片、CSS等	需定期更新缓存，动态内容需配合源站
WAF	Web应用防火墙	检测应用层攻击，阻断恶意请求	航班信息系统的Web应用（如查询页面、订票接口）	规则需定期更新，避免误判正常业务
防火墙	网络层安全设备	过滤入站出站流量，控制访问	网络边界，过滤非法IP、协议	配置复杂，需定期审计
负载均衡器	分发请求到多台服务器	均衡负载，提高可用性	应用服务器前，分发请求	需配置健康检查，避免故障服务器接收请求

4) 【示例】：以负载均衡器（Nginx）配置限流为例，伪代码：

http {
    limit_req_zone $binary_remote_addr zone=per_ip:10m rate=1000r/s;
    server {
        listen 80;
        location / {
            limit_req zone=per_ip;
            proxy_pass http://backend_server;
        }
    }
}

解释：当请求速率超过1000次/秒时，丢弃请求（限流），减轻应用服务器压力。

5) 【面试口播版答案】：面试官您好，针对航班信息系统在高峰时段的DDoS攻击防护，核心思路是通过多层级技术手段，在入口层、网络层、应用层层层过滤和分担流量。具体来说，首先在网络入口部署流量清洗设备，识别并过滤volumetric攻击（如UDP flood），只放行正常流量；然后在应用层部署Web应用防火墙（WAF），检测和阻止应用层攻击（如CC攻击）；同时，通过负载均衡器分发请求到多台应用服务器，并配置限流策略，当请求速率超过阈值时，触发降级或重定向；另外，利用CDN缓存静态资源（如页面模板、图片），将用户请求引导至离得最近的CDN节点，减轻源站压力。部署位置上，流量清洗设备放在网络边界（如防火墙之后），WAF和负载均衡器部署在应用服务器前，CDN节点部署在用户侧或区域边缘。这样，即使遭遇大规模DDoS攻击，系统也能保持高可用性，保障航班信息查询等核心业务的正常运行。

6) 【追问清单】：

1. 如果流量清洗设备被攻击者绕过怎么办？
   回答：结合WAF和负载均衡的限流，或者采用多级清洗（如云厂商的DDoS防护服务，结合IP黑名单、行为分析，识别异常流量模式）。
2. 负载均衡器的健康检查如何设计？
   回答：定期（如每秒）检查服务器响应时间，当服务器响应超时或错误率超过阈值（如超过5%）时，将请求移除负载均衡池，避免故障服务器影响正常业务。
3. 如何处理业务高峰与防护的平衡？
   回答：通过动态调整限流阈值，高峰时段提高限流阈值（如从1000r/s提升至2000r/s），非高峰时段降低，或者结合业务流量模型（如历史数据预测），提前扩容应用服务器，确保防护措施不影响正常业务响应时间。
4. 部署成本如何考虑？
   回答：采用云厂商的弹性防护服务（如阿里云的DDoS防护、CDN服务），按需付费，避免固定成本过高，同时云厂商提供自动扩容能力，应对突发流量。
5. 如何验证防护效果？
   回答：通过监控工具（如Prometheus+Grafana）实时监控流量、请求速率、服务器负载（CPU、内存、网络I/O），定期进行压力测试（如使用工具模拟DDoS攻击），验证防护阈值是否合理，以及系统在攻击下的可用性。

7) 【常见坑/雷区】：

1. 只说单一技术，如仅提WAF，忽略流量清洗和负载均衡，导致网络层攻击无法过滤，应用服务器过载；
2. 部署位置错误，如把流量清洗设备放在应用服务器后，导致正常流量被过滤，影响业务；
3. 忽略静态资源缓存，导致源站压力过大，即使应用层防护有效，源站仍可能因静态资源请求过多而崩溃；
4. 限流策略设置不合理，如阈值过低（如100r/s），正常业务高峰时段（如春运）的请求会被误判为攻击，导致用户无法查询航班信息；
5. 未考虑业务特性，如航班信息系统的实时性要求，防护措施（如流量清洗的延迟）可能影响正常业务响应时间，需优化清洗设备性能或采用低延迟的防护方案。