1. 选型与成本评估
- 步骤1:评估流量类型(带宽峰值、电平攻击或突发包);记录历史峰值和峰值持续时间。
- 步骤2:在恒创产品中选择“清洗带宽+按峰计费”或“保底带宽+按月包年”,小流量多突发选按峰,稳定大流量选包年以降成本。
- 步骤3:选择节点(美国洛杉矶/硅谷/弗吉尼亚),靠近用户可减延迟;若预算有限可只在主流地区部署CDN+一台小带宽高防作为回源。
2. 基础网络与BGP配置
- 步骤1:确认恒创是否提供BGP多线或Anycast;开启Anycast可提升抗并发能力。
- 步骤2:设置弹性公网IP与内网互通,建议把控制面(SSH、管理端口)绑定到内网或管理专线,公网仅开放业务端口。
- 步骤3:开启端口保护/黑洞策略前,和销售确认清洗门槛与恢复时间,避免误伤正常流量。
3. 系统网络内核调优(Linux实操)
- 在/etc/sysctl.conf追加并执行sysctl -p:
net.core.somaxconn=65535
net.core.netdev_max_backlog=250000
net.ipv4.tcp_max_syn_backlog=65535
net.ipv4.tcp_fin_timeout=15
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_syncookies=1
- 注意:调整后观察conntrack和内存占用,必要时增加内核内存和关闭不必要服务。
4. 防火墙和速率限制(iptables + nftables + nginx)
- iptables 示例(限制单IP每秒连接):
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m recent --set
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m recent --update --seconds 1 --hitcount 20 -j DROP
- nginx 层面限流(http块):
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
server { location / { limit_req zone=one burst=30 nodelay; } }
- 对UDP(DNS/SNMP等易被放大)使用fwmark或恒创控制台限制,必要时在防火墙层丢弃异常源端口。
5. 应用层优化与缓存策略
- 使用CDN做静态资源回源,减少源站带宽并承担缓存清洗。恒创与第三方CDN结合通常更省钱。
- 启用gzip/deflate、开启浏览器缓存、使用长缓存策略并对API使用短缓存或缓存键。
- 对数据库做读写分离,使用连接池(如pgbouncer、proxysql)减少瞬时连接压力。
6. 高可用与故障转移(Keepalived + 健康检查)
- 安装keepalived并配置虚拟IP(VIP),master/slave互备;配置脚本检查nginx/后端健康并通过notify脚本切换。
- 示例健康脚本(/etc/keepalived/check_http.sh):curl -sSf http://127.0.0.1:80/health || exit 1。将该脚本挂在vrrp脚本中。
- 对跨机房容灾,用DNS低TTL并结合监控自动调整流量。
7. 防暴力登录与入侵检测(fail2ban + ssh硬化)
- 安装fail2ban并启用ssh/http规则,编辑/etc/fail2ban/jail.local:
[sshd]
enabled = true
maxretry = 5
bantime = 86400
- 关闭密码登录,仅允许密钥登录;更改默认SSH端口并限制Login来源IP列表。
8. 监控、报警与压测验证
- 部署Prometheus + Grafana或Zabbix,至少监控带宽、连接数、SYN队列、CPU、内存、磁盘io和netstat状态。
- 报警动作:带宽/连接数超阈值推送短信/钉钉并自动触发脚本(如加入IP黑名单或切换到备用线路)。
- 压测工具:使用hping3(模拟SYN flood)、ab/siege/wrk模拟HTTP并发,评估清洗门槛与后端承载能力。
9. 成本控制实战技巧
- 优先使用CDN和边缘缓存以压缩回源流量,减少高防带宽需求。
- 使用恒创的按峰计费时设置合理清洗阈值并监控,避免自动清洗或黑洞造成业务中断。
- 小规模做多点部署(多小带宽实例)通常比单大带宽更灵活、故障切换更廉价;结合负载均衡和DNS故障转移实现低成本高可用。
10. 问:如何验证恒创高防配置真的生效?
- 回答要点:用真实流量回放或安全测试(先在非生产环境)模拟攻击(hping3模拟SYN,ab模拟慢速连接),观察恒创控制台清洗日志、服务器SYN队列与监控数据,确认流量被清洗且业务恢复正常。
11. 问:我如何在预算有限时保证基本可用和抗DDoS?
- 回答要点:优先投入在CDN与缓存、限速策略与系统内核优化;选择按峰计费且设置合理清洗阈值;把关键控制端口内网化并用密钥登录,做到“减量+防护”。
12. 问:常见误区有哪些?
- 回答要点:误区包括完全依赖云端清洗(忽视应用优化)、未配置监控就无法及时响应、误用黑洞/全网封堵导致业务中断。正确策略是“边缘防护+源站加固+监控自动化”三管齐下。