DDoS防御是纵深防御:没有单一的控制措施能够阻止所有攻击,所以你堆叠多个层,每一层吸收、过滤或阻止不同类别的流量。顺序很重要——尽可能将工作推向边缘,远离你的源站。
429 Too Many Requests。阻止滥用客户端而不伤害正常客户端。心智模型是 吸收 -> 过滤 -> 阻止:
Internet flood
-> CDN + anycast : ABSORB volume across global PoPs
-> scrubbing : drop obvious junk (L3/L4 floods)
-> WAF : FILTER malicious HTTP (L7)
-> rate limiting : throttle abusive clients (429)
-> origin (autoscaled) : serve the clean remainder
-> ISP null-route : last resort if origin IP is overwhelmed
大流量攻击在CDN/scrubbing层被消化;看起来像真实流量的应用层攻击被WAF和速率限制器过滤掉。
依赖单一层会导致可预测的失败:WAF无法阻止1 Tbps的泛洪(管道先饱和),CDN单独会很乐意将巧妙的HTTP泛洪传递到你的源站。分层意味着每类攻击都遇到专为其设计的控制措施,源站只会看到外层无法自行处理的流量。