如何使用负载均衡设备防御攻击

负载均衡设备作为关键应用的入口，自然也成为各种攻击的目标所在。如何确保负载均衡设备在自身不会瘫痪的前提下保护后端服务器，是负载均衡器必须解决的问题。事实上，负载均衡设备从诞生之日起，其高并发会话和新建连接速率让防火墙产品相形见绌。另外，绝大部分攻击目标IP恰好是落在负载均衡设备上的虚拟IP（VIP），相对于防火墙处理经过流量的方式，负载均衡设备更了解这些应用应该如何保护，自然适合施加针对虚拟IP和后端服务器的策略。在负载均衡设备外面设置防火墙的，是一些用户既有的管理原因导致。对于真正大流量的互联网应用，鲜有在负载均衡设备外侧部署防火墙的。下面以A10网络的AX产品具备的各种攻击防御方式进行介绍。1 首先，针对最常见的SYN Flooding攻击，负载均衡设备采用广为使用的SYN Cookie机制进行防御。用户关注的就是其SYN Cookie性能了。A10的高端设备采用硬件处理SYN-Cookie，可以防御高达50M SYN/Sec（约3个万兆+3个千兆端口打满攻击流量）的DDoS攻击，而且对CPU影响为02 ICMP速率限制。针对类似Smurf的基于大量PING的攻击，负载均衡设备可以限制每秒处理的ICMP包数量。3 基于源IP的连接速率限制，适用于TCP和UDP。越来越多的分布式DoS攻击为有效TCP连接或者UDP攻击。对于来自单一IP连接速率超过设定值的，负载均衡设备可以对该IP地址采取丢弃、发送日志告警、锁定一定时间等多种操作。4 IP异常攻击防御。针对Land-attack，Ping-of-Death等常见攻击类型，A10的负载均衡设备可以检测并丢弃。5 访问控制列表（ACL），基于IP五元组进行过滤，不再赘述。6 基于策略的服务器负载均衡（PBSLB），A10的负载均衡设备可以支持高达800万条主机记录的黑白名单，该名单可以通过TFTP服务器定期自动更新，更新期间无过渡漏洞。较之路由器的ACL或防火墙策略数量高出数十倍。可以针对该名单内地址限制连接数量，可以分为不同组，选择丢弃或转发到不同组服务器。该特性可以与A10其它防攻击特性结合动态生成黑白名单。7 虚拟服务器/服务器连接数量限制。根据服务器的能力，限制分配到单台服务器或整个虚拟服务器的连接数量。避免服务器由于连接过多而瘫痪。该限制可应用于服务器或其某个服务端口。8 虚拟服务器/服务器连接速率限制。上一项限制的是同时保持的静态连接数量，这一项则是限制新建连接的速率。对于大量短连接攻击或突发流量，并发连接数不大，但大量新建连接同样可以让服务器瘫痪。9 HTTP并发请求限制和请求速率限制。针对目前大量的CC攻击，上述基于连接数和连接速率的限制已经无能为力，因为CC攻击往往是在单一TCP连接上发送大量HTTP请求。A10的负载均衡设备将基于7层请求的攻击防御与强大的黑白名单功能结合，可以限制单一IP来源的并发总连接数、新建连接速率、并发请求数、请求速率。不同用户IP可以分为不同组，设置不同参数。10 DNS合规性检查。针对应用之首的DNS，攻击防御更是不可忽视。除了上述通用特性外，A10的负载均衡设备可以检查DNS数据包得合规性，对于格式不符合DNS协议标准的数据包进行过滤或转发到专门的安全设备。11 动态DNS缓存功能。由于DNS服务器能力有限，如何在有异常流量时保护DNS服务器并让DNS服务正常运行，是用户渴望解决的问题。A10的动态DNS缓存功能可以根据后端DNS服务器能力设置阈值，当针对某个域名的请求达到一定数量时，可以动态启用该域名的缓存功能，有负载均衡设备应答DNS请求。这个功能的前提是负载均衡设备的DNS处理能力足够高。A10的入门级64位产品的DNS处理能力即可达到150万DNS QPS（DNS请求/秒）。12 自定义脚本。基于tcl语言的自定义脚本可以让用户根据需求定义更为灵活的安全策略，尤其是A10的自定义脚本可以调用上述高达800万条目的黑白名单。以上只是每个安全特性的简单描述，每个安全特性都有一些细节功能，可以解决很多用户头疼的安全问题。后期会选择部分功能详细介绍。

首先应该打开“服务器管理器”，找到“添加角色”项目点击，在向导中安装“DNS服务器”然后就能在“管理工具”中找到它了，这就可以了，好了希望对你有用，我还要在后盾人自己努力学习呢，一起加油吧@(｡･o･)@

Apache服务器也就是www服务器，由于www采用HTTP协议所以又称为HTTP服务器，用于静态页面的解析；而Tomcat服务器是应用（Java）服务器，可以说是一个Servlet容器，可以认为是Apache的扩展，本身包含了一个HTTP服务器。但是可以独立于Apache运行，主要用于动态页面提供服务，可以将JSP编译成对应的Servlet，所以是web应用服务器。

关于 QPS、TPS、PV、UV、GMV、IP、RPS 这些词语，看起来好像挺专业。但实际上，我认为是这是每个程序员必懂的知识点了，你可以搞不懂它们怎么计算的，但是你最少要了解它们分别代表什么意思。

2019年12月09日 - 初稿

阅读原文 - https://wsgzaogithubio/post/qps/

扩展阅读

Queries Per Second，每秒查询数。每秒能够响应的查询次数。

QPS 是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准，在因特网上，作为域名系统服务器的机器的性能经常用每秒查询率来衡量。每秒的响应请求数，也即是最大吞吐能力。

Transactions Per Second 的缩写，每秒处理的事务数目。一个事务是指一个客户机向服务器发送请求然后服务器做出反应的过程。客户机在发送请求时开始计时，收到服务器响应后结束计时，以此来计算使用的时间和完成的事务个数，最终利用这些信息作出的评估分。

TPS 的过程包括：客户端请求服务端、服务端内部处理、服务端返回客户端。

例如，访问一个 Index 页面会请求服务器 3 次，包括一次 html，一次 css，一次 js，那么访问这一个页面就会产生一个 “T”，产生三个 “Q”。

Page View 即页面浏览量，通常是衡量一个网络新闻频道或网站甚至一条网络新闻的主要指标。户每一次对网站中的每个页面访问均被记录 1 次。用户对同一页面的多次刷新，访问量累计。

根据这个特性，刷网站的 PV 就很好刷了。

与 PV 相关的还有 RV ，即重复访问者数量 Repeat Visitors。

访问数（Unique Visitor）指独立访客访问数，统计 1 天内访问某站点的用户数 (以 cookie 为依据)，一台电脑终端为一个访客。

（Internet Protocol）独立 IP 数，是指 1 天内多少个独立的 IP 浏览了页面，即统计不同的 IP 浏览用户数量。同一 IP 不管访问了几个页面，独立 IP 数均为 1；不同的 IP 浏览页面，计数会加 1。IP 是基于用户广域网 IP 地址来区分不同的访问者的，所以，多个用户（多个局域网 IP）在同一个路由器（同一个广域网 IP）内上网，可能被记录为一个独立 IP 访问者。如果用户不断更换 IP，则有可能被多次统计。

是 Gross Merchandise Volume 的简称。只要是订单，不管消费者是否付款、卖家是否发货、是否退货，都可放进 GMV 。

代表吞吐率，即 Requests Per Second 的缩写。吞吐率是服务器并发处理能力的量化描述，单位是 reqs/s，指的是某个并发用户数下单位时间内处理的请求数。

某个并发用户数下单位时间内能处理的最大的请求数，称之为最大吞吐率。