记一次DDOS攻击
发生在测试环境,有外网域名。
客户端同学反映接口不能请求,看了下日志没有错误,重启了一下可以正常启动。
过了一段时间又不能访问了,开始排查nginx日志。发现一瞬间有大量的请求响应码为404,之后我们的请求响应499。
因为测试环境跑了多个服务,内存使用率较高98%,考虑是不是内存不足引起的开始做服务迁移,将我的服务迁走并且nginx转发的新服务,观察一段时间。
好景不长,第二天又挂了。说明不是内存的问题,再看nginx日志发现还是一样的情况,大量的请求,其中不乏sql注入,env,secret_key和各种静态文件。
由于我们只支持post请求,并且每个请求都有sign,所以并没有攻击到DB。采用应急手段先把这个ip诶deny了,之后所有攻击的请求都直接返回403不再打到tomcat,暂时解决问题,后面又有几次攻击均未造成影响。
后续解决方案:
主要应该是测试环境配置有限,突然流量激增时tomcat很容易被打死,所以要做限流。
1.springcloud zuul中用令牌桶
2.在Tomcat容器中,我们可以通过自定义线程池,配置最大连接数,请求处理队列等参数来达到限流的目的。
3.在nginx中也可以限流
1、在nginx.conf里的http{}里加上如下代码:
limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m;
2、在需要限制并发数和下载带宽的网站配置server{}里加上如下代码:
limit_conn perip 2; limit_conn perserver 20; limit_rate 100k;
补充说明下参数:
- $binary_remote_addr是限制同一客户端ip地址;
- $server_name是限制同一server最大并发数;
- limit_conn为限制并发连接数;
- limit_rate为限制下载速度;