DDoS 防护
了解 Galaxy 如何保护您的应用。
Galaxy 的网络层具有一个定制代理,专门用于与 Meteor 应用配合使用。
我们的代理服务器处理发送到您的应用的 HTTP 和 WebSocket 请求,始终选择最佳容器来服务每个特定请求,并考虑每个容器上已打开的连接数。
它还允许您在我们的应用中使用多个域名。
DoS 和 DDoS 攻击是试图使您的应用过载,并使其无法接收合法请求。
Galaxy 代理服务器位于发送到您的应用的每个请求之前。这是一项非常重要的安全措施,因为我们的代理服务器可以隔离对您的应用的潜在攻击尝试。我们称之为“DDoS 防护”,它会自动为所有 Galaxy 客户启用。
Galaxy 通过分析所有进入我们服务器的请求、汇总所有服务器上的数据,然后根据哪些类型的请求超过了我们的预期限制来做出决策,从而提供开箱即用的攻击防护。
当某类请求被归类为滥用时,我们将停止将这些请求发送到您的应用,并开始返回 HTTP 429(请求过多)。
我们还有一些规则来定义此类请求将被阻止多长时间。如果您有需要不同限制的特定用例,请联系 support@meteor.com。
我们不会在这里详细解释我们如何识别滥用请求以及我们的规则是什么,因为这可能会使攻击者更容易绕过它们。每当我们发现新的保护机会时,我们都会改进我们的应用保护功能。
如果您要进行负载测试,请至少提前 2 个工作日与我们联系,说明您是如何进行的——哪些 IP 和目标主机(域名)。
攻击可能发生在不同的规模上。我们不能保证能够防止任何类型的攻击,但我们可以防止大多数攻击,因为我们的代理层非常强大,可以处理大量请求。我们还在服务器前面使用标准的 AWS 保护。
您也应该配置您的应用以限制通过 WebSockets 接收的消息,因为我们的代理服务器仅在第一个连接中起作用,而不是在建立连接后的 WebSocket 消息中。
Meteor 提供了 速率限制,您可以使用它来进一步保护您的应用。
在您的应用设置中,您可以自定义 DDoS 防护设置。您将能够设置一个阈值,用于您希望允许您的应用在 5 秒的窗口内接收的最大请求数。
启用自定义 DDoS 防护后,您还将能够查看当前被阻止的 IP 列表(如果有),并且您将有权禁用阻止或甚至删除它。
当您删除时,您将完全消除此记录,因此它将来可能会再次被阻止。禁用后,它将永远不会再次被阻止。
Galaxy 的网络层具有一个定制代理,专门用于与 Meteor 应用配合使用。
我们的代理服务器处理发送到您的应用的 HTTP 和 WebSocket 请求,始终选择最佳容器来服务每个特定请求,并考虑每个容器上已打开的连接数。
它还允许您在我们的应用中使用多个域名。
攻击
DoS 和 DDoS 攻击是试图使您的应用过载,并使其无法接收合法请求。
Galaxy 代理服务器位于发送到您的应用的每个请求之前。这是一项非常重要的安全措施,因为我们的代理服务器可以隔离对您的应用的潜在攻击尝试。我们称之为“DDoS 防护”,它会自动为所有 Galaxy 客户启用。
Galaxy 通过分析所有进入我们服务器的请求、汇总所有服务器上的数据,然后根据哪些类型的请求超过了我们的预期限制来做出决策,从而提供开箱即用的攻击防护。
当某类请求被归类为滥用时,我们将停止将这些请求发送到您的应用,并开始返回 HTTP 429(请求过多)。
我们还有一些规则来定义此类请求将被阻止多长时间。如果您有需要不同限制的特定用例,请联系 support@meteor.com。
我们不会在这里详细解释我们如何识别滥用请求以及我们的规则是什么,因为这可能会使攻击者更容易绕过它们。每当我们发现新的保护机会时,我们都会改进我们的应用保护功能。
如果您要进行负载测试,请至少提前 2 个工作日与我们联系,说明您是如何进行的——哪些 IP 和目标主机(域名)。
攻击可能发生在不同的规模上。我们不能保证能够防止任何类型的攻击,但我们可以防止大多数攻击,因为我们的代理层非常强大,可以处理大量请求。我们还在服务器前面使用标准的 AWS 保护。
您也应该配置您的应用以限制通过 WebSockets 接收的消息,因为我们的代理服务器仅在第一个连接中起作用,而不是在建立连接后的 WebSocket 消息中。
Meteor 提供了 速率限制,您可以使用它来进一步保护您的应用。
设置
在您的应用设置中,您可以自定义 DDoS 防护设置。您将能够设置一个阈值,用于您希望允许您的应用在 5 秒的窗口内接收的最大请求数。
启用自定义 DDoS 防护后,您还将能够查看当前被阻止的 IP 列表(如果有),并且您将有权禁用阻止或甚至删除它。
当您删除时,您将完全消除此记录,因此它将来可能会再次被阻止。禁用后,它将永远不会再次被阻止。
更新于:2024/07/15
谢谢!