简介

系统部署在公网是怎么应对网络攻击的??? 涉及到检测对应的IP和请求、再加以控制防御。

一般是部署检测和防御2套系统。

最好都在: 交换机或者防火墙，尽可能离用户比较近。再统一入口处管理。

注意事项

当然再初期也可以买云厂商的DOSS防火墙.

设计

基于云服务

流程

1. 利用feliBeets收集nginx的日志
2. 发送到Logstash做格式化处理
3. 发送到Kafka中，再用消费者去做检测处理。
4. 业务处理比如 : token不合法的、频繁访问验证码、频繁触发缓存穿透 (可以用规则引擎去做解耦)
5. 对上面的敏感操作计数、到阈值之后做报警、拉入黑名单。
6. 拉入黑名单操作：先调用APISIX的API 设置nginx的黑白名单、再定时去刷新本机的防火墙、定时更新阿里云的开放端口。
7. 再定时的做网段的聚合，更新相关的配置。

内网自建

可以放到交换机中去做。

就是把上面的逻辑再定时的刷新到交换机中去控制。

思考

nginx 可以配置 ip黑白名单，限制所有ip同一时间访问QPS和连接数，可以防止一些网络安全攻击，可以做限流操作，可以配置过载拒绝策略。https://blog.csdn.net/zzhongcy/article/details/88735174

参考资料

入侵检测系统(IDS)与入侵防御系统(IPS)的区别 (opens new window)

IPS : 防火墙和网络的设备之间的设备，做管理、控制

IDS: 位于尽可能靠近攻击源、尽可能靠近受保护资源，重点在于检测、报警，但是不做控制。

应当挂接在所有所关注的流量(高危网络区域的访问流量和需要进行统计、监视的网络报文)都必须流经的链路上。

最好都在: 交换机或者防火墙

你需要得开源入侵检测系统都在这里 (opens new window)

这些开源系统大部分再防火墙或者命令行的，都不太符合，热更新的需求。

ipset+iptables封禁以及自动解封IP (opens new window)

iptables封掉少量ip处理是没什么问题的，但是当有大量ip攻击的时候性能就跟不上了。

ipset的一个优势是集合可以动态的修改，即使ipset的iptables规则目前已经启动，新加的入ipset的ip也生效。

解决ipset重启服务器 ipset list黑白名单需要重新建立问题 (opens new window)

linux 设置防火墙黑名单,【转】Linux防火墙(iptables)之黑名单 (opens new window)

https://www.iblocklist.com/lists.php 这个网站已搜集了大量的恶意IP，可以拿使用来