网关限流基础防护
固定窗口限流
基于时间窗口(如1秒/分钟)统计请求次数,超出阈值拒绝请求。Nginx示例配置:
nginx
limit_req_zone $binary_remote_addr zone=api_limit:10m rate=100r/s;
location /api {
limit_req zone=api_limit burst=50 nodelay;
}令牌桶算法
动态调整流量吸收突发请求,如Redis+Lua实现:
lua
local tokens = tonumber(redis.call('get', KEYS[1])) or 10
if tokens > 0 then
redis.call('decr', KEYS[1])
return true
end
return false分布式限流
通过Redis集群实现跨节点计数,避免单点限流失效。需注意同步延迟问题。
WAF深度防护策略
行为特征识别
分析请求频率、时序分布,识别自动化工具特征。例如:
- 相同UserAgent高频请求
- 无Referer或固定Referer
- 请求间隔时间标准差异常小
动态挑战机制
对可疑请求返回JS计算题或滑动验证,真实用户可通过而机器无法解析。Cloudflare的5秒盾即采用此技术。
指纹关联分析
综合客户端TCP/IP栈特征、TLS指纹、HTTP头顺序等生成设备指纹,阻断僵尸网络攻击。
联合防护实施要点
流量分层过滤
网关处理70%的明显异常流量(如超速请求),WAF处理剩余30%的高阶攻击(如慢速CC攻击)。
策略联动配置
当网关检测到IP异常时,自动将该IP加入WAF黑名单进行深度检测。反之WAF识别攻击模式后,通知网关调整限流阈值。
日志关联分析
统一收集网关和WAF日志,通过ELK或SIEM系统建立关联规则,例如:
- 同一IP在网关限流后更换UA继续请求
- 分布式攻击源IP的地理分布异常集中
高级防护方案
机器学习动态调参
基于历史流量训练模型,动态调整限流阈值和WAF规则敏感度。阿里云WAF已集成此功能。
边缘计算防护
在CDN边缘节点部署防护逻辑,将攻击拦截在近源位置。AWS Shield Advanced支持此模式。
硬件加速方案
使用FPGA智能网卡实现T级流量清洗,适合金融级抗D场景。F5的Shape Defense即采用此技术。
异常处置流程
自动触发IP临时封禁后,应通过短信/邮件通知运维人员审核。确认恶意行为后升级为长期封禁,并更新威胁情报库。对于误拦截需建立白名单快速通道。