Security 如何保护我的静态网站堆栈免受DDoS攻击？

作为一个思想实验，我正在寻求设计一个负担得起的静态网站堆栈，它没有单点故障，是分布式的、持久的、安全的，而且速度非常快。我的基本蓝图如下：

• 主要和次要受管选播DNS（分别为NSONE和Dyn）
• 主静态网站（AWS S3）和故障转移静态网站（Rackspace）
• Cloudfront、Azure、Softlayer和Rackspace上的多CDN分发（使用NSONE的过滤链实现）

现在，这个蓝图中的绝大多数都使用付费服务，这一事实使得堆栈价格合理且可扩展。然而，我看到的一个突出的漏洞是可能发生金融拒绝服务（FDoS）攻击，这种攻击会滥用堆栈并增加用户账单，直到用户被迫使其站点脱机

因此，需要考虑并缓解各种DDoS攻击，以防止滥用。常见的DDoS反向代理服务有两个问题。首先，它们位于DNS服务器和web服务器之间，因此无法保护DNS免受滥用。其次，有一些方法可以通过发生的各种泄漏来发现隐藏的web服务器的IP（S3和Rackspace上的问题较少，因为服务不使用静态IP，并且您可以仅限制对CDN的访问）。GRE隧道可以防止这些泄漏，并且在某些高端DDoS服务中也是可能的，但这仍然不能保护DNS

因此，似乎需要一个位于托管DNS服务前面的解决方案。可能是在DDoS过滤网络上设置DNS代理服务器，该网络将清除的流量转发到托管DNS提供商的网络，在该网络中，合法查询得到响应？这可以通过绑定转发来实现吗？如果是这样，为了避免DNS代理成为单点故障，可以使用小实例建立小型/多样化的选播DNS代理网络。假设这是一个有效的解决方案，它的工作量会稍微多一些，但成本可能仍远低于企业DDoS解决方案

好的，这就引出了一个问题，潜在的攻击者是否仍然可以使用前面的DNS代理服务器攻击您的托管DNS？还有什么显而易见的攻击途径吗？我认为有必要根据攻击的具体情况为CDN分发创建规则。在这种情况下，除了创建您自己的规则外，如果CDN本身没有安装DDoS防御过滤器，是否有办法防止大量文件请求增加带宽

---

好的，谢谢你忍受我的思想实验。同样，我只是想找到没有单点故障、价格合理、分布式、持久、安全且速度非常快的最佳解决方案。再次感谢您，我期待着听到您的技术投入

DNS中毒和反向代理是与客户端相关的问题，您无法解决它。最好的办法是使用带有签名证书的SSL，但这仍然不是100%保证。一些间谍软件创建自签名证书并将其添加到运行中的受信任证书列表中。当客户端浏览Internet时，他们只有在检查受信任证书存储时才意识到欺诈。我的问题是，在不将合法流量错误标记为滥用流量的情况下，您有什么标准来发现滥用行为？在你明白这一点之前，要想知道如何防止虐待是有点困难的。所以我会先回答这个问题，然后你可以提出一个更符合这些需求的技术性游戏计划。另外，无论谁使用这个蓝图来设定“规模限制”是否合理？他们基本上说“它可以扩展，但只能扩展到这一点”。