javascript - 如何使我的 Node.js websocket socket.io 服务器对 DoS 更具弹性？

Question

我的项目有一个使用 socket.io 在 Node.js 中构建的 WebSocket 服务器。

回顾最近一次中断的原因，我发现前端应用程序进入了一种状态，即它不断进行服务器拒绝的格式错误的连接尝试。它在没有后退的循环中这样做。

最终在此服务器上发生的是单个 Node.js CPU 线程最终被积压阻塞，并产生级联效应——无法发出新请求，无法进行其他处理，等等上。

解决这个问题的简单方法是在客户端上——弄清楚为什么它会进入快速循环并添加一些指数退避。

但是，这并不能解决将来发生类似问题的问题。因此，我需要找到一种方法让我的服务器更具弹性。

一种方法是在调用 server.listen 时使用 backlog 参数。然而，这可能会阻止合法的客户端请求通过。

我希望能够以某种方式识别失控的客户端。由于 NAT、代理和防火墙，IP 地址可能无法正常工作。

那么，保护我的服务器免受此类 DoS 攻击的好方法是什么？

Answer 1

拦截 DoS 攻击的理想位置是在连接到达您的应用程序服务器之前。这通常是在路由器、防火墙或负载平衡器中，您会依赖它对来自特定源的速率进行限制的方法。如果您为托管服务付费，这应该是托管服务必须提供的功能之一，因为许多更大或更显眼的租户会需要这种服务。

从一个意外行为不当的浏览器(就像你在问题中描述的那样)，你可以 cookie 一个被拒绝的请求，然后限制任何呈现该 cookie 的客户端(限制它们不超过 N 个连接请求/分钟)。

您不能依赖 cookie 进行真正有目的的 DoS 攻击，因为如果 cookie 干扰了他们的攻击，攻击者可能不会保留 cookie。为此，任何基础设施所能做的就是在源中查找标识信息(通常是 IP 地址)。如果您不小心清除了一些恰好共享相同 NAT 或代理的合法客户端(因此被识别为与 DoS 攻击来源相同的 IP 地址)，那么这就是问题的本质。你对此无能为力。您必须不惜一切代价保护服务的完整性，如果 cookie 没有被真正的攻击者保留，您真的无能为力。

如果您选择尝试自己实现这种类型的保护，那么您可以尝试在您的应用程序服务器中实现它(并为此接受一些性能损失)，或者您可以在您的同一主机上部署一个中介，例如 NGINX以缓解 DoS 攻击。这是一篇关于为此使用 NGINX 的文章:Mitigating DDoS Attacks with NGINX and NGINX Plus .