国内某一线公司的DDoS防护方案迭代
单点故障
单点资源瓶颈
主要解决办法:程序识别或运营通过调度DNS来解决
LVS+KEEPALIVED+JLB
高效率
易部署
易管理
能充分利用机房资源(所有计算机、以及所有带宽资源)
上行带宽瓶颈
数据报文转发瓶颈
无抵御攻击能力
架构图:DPVS+Firewall+keepalived+JLB
增加了抵御L4攻击的能力
增加了数据包的转发能力
引入问题:
开发、调试、部署相对麻烦
架构图:ECMP+DPVS+Firewall+JLB
解决了上行瓶颈问题
WAN/LAN Anycast +ECMP+Firewall&LoadBalancer(XDP+eBPF)
机房整体资源充分利用,整体上无明显的缺点
需要开发很多周边控制程序
WAN/LAN Anycast +ECMP+Firewall(XDP+eBPF)
机房整体资源利用
避免引入了故障点(LB,firewall)
需要开发很多周边控制程序
个人感受:从框架的迭代进化来看,其实没有什么技术上的难点,用一句很简单的话来说就是,所以99%的计算机问题都可以通过加入一个中间层来解决,和今天的大公司的移动端,后端框架一样,无非是变的的越来越重,越来越层,把问题细分化来解决。