一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 1.1.技术背景 n Web成为主流的网络和应用技术 q CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计 显示，Web 应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 法响应用户的正常请求，造成网络服务瘫痪。 q 资源耗尽型有：UDP DNS Query Flood、Connection Flood、 HTTP Get Flood等等 q 流量型有：syn_flood，ack_flood，rst_flood，udp_flood， icmp_flood 等 53 原理 54 原理 n扫描程序 n非安全主机 n黑客 n DDoS攻击一般通过Internet上广泛分布的“僵尸”系 统完成。随着“僵尸”规模的发展，DDoS造成的海 量攻击流量给应用系统、网络本身带来非常大的负载 消耗，从而使网络基础设备和应用系统的可用性大为 降低。 108 q DDOS攻击防护产品用以发现网络流量中各种类型的攻击流 量，针对攻击类型迅速对攻击流量进行拦截，保证正常流量 的通过。 q 代表产品：绿盟抗拒绝服务系统、洪御抗拒绝服务攻击系统 等 109

配置信任代理 如果你的应用运行在一个会中断 TLS/SSL 证书的负载均衡器之后，你会注意到有的时候应用不会生成 HTTPS 链接，通常这是因为应用是从负载均 衡器从 80 端口转发过来的流量，所以不知道应该生成安全加密链接。 要解决这个问题可以使用 App\Http\Middleware\TrustProxies 中间件，该中间件允许你快速自定义需要被应用信任的负载均衡器或代理。被信任 可以立即被读取到，从而避免主从延迟导致的数据不一致，是否启用这一功能取决于你。 学院君注：当然，这只是一个针对分布式数据库系统中主从数据同步延迟的一个非常初级的解决方案，访问量不高的中小网站可以这么做，大流量高 并发网站肯定不能这么干，主从读写分离本来就是为了解决单点性能问题，这样其实是把问题又引回去了，造成所有读写都集中到写数据库，对于高 并发频繁写的场景下，后果可能是不堪设想的，但是话说回来，对于并

配置信任代理 如果你的应用运行在一个会中断 TLS/SSL 证书的负载均衡器之后， 你会注意到有的时候应用不会生成 HTTPS 链接，通常这是因为应 用是从负载均衡器从 80 端口转发过来的流量，所以不知道应该生成 安全加密链接。 要解决这个问题可以使 用 App\Http\Middleware\TrustProxies 中间件，该中间件允许你 快速自定义需要被应用信任的负载均衡器或代理。被信任的代理位于 而避免主从延迟导致 的数据不一致，是否启用这一功能取决于你。 学院君注：当然，这只是一个针对分布式数据库系统中主 从数据同步延迟的一个非常初级的解决方案，访问量不高 的中小网站可以这么做，大流量高并发网站肯定不能这么 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun.com 943 干，主从读写分离本来就是为了解决单点性能问题，这样

轓 文件而非使用 譲 譥 譧 譩 譳 譴 譥 譲 譊 譳 譆 譩 譬 譥 謨 謩 来注册。 因为这些允许更好的灵活性和更精细的依赖配置。 此外，使用资 源包允许您组合和压缩多个 轊 轓 文件，这对于高流量网站来说是比较理想的 方式。 8 . 6 . 2 注 注 注册 册 册 C S S 与 轊 轡 轶 轡 轓 轣 轲 轩 轰 轴 类似，您可以使用注册 轃 轓 轓 使用 譲 譥 譧 譩 譳 譴 譥 轮 轤 转 轥 轳 来注册外部 轃 轓 轓 文件， 而非使用 譲 譥 譧 譩 譳 譴 譥 譲 譃 譳 譳 譆 譩 譬 譥 謨 謩 来注册。 使用资源包允许你合并并且压缩多个 轃 轓 轓 文件，对于高流量的网 站来说，这是比较理想的方式。 它还提供了更大的灵活性，因为应用程序 的所有资源依赖性都在一个位置配置。 8 . 6 . 3 注 注 注册 册 册资 资 资源 源 源包 包 包 如前所述，建议使用资源包而不是直接注册