帶有非阻塞框架對DoS/DDoS的影響

Question

在運行諸如node.js之類的非阻塞框架的應用程序上處理DDoS攻擊時，是否存在固有的優點或缺點？

據我所知，這些攻擊以大量請求超載系統資源 - 導致它失敗。非阻塞框架能夠處理比阻塞更多的併發請求。這不應該意味着大自然使用非阻塞框架有助於緩解這些類型的攻擊？

我意識到還有其他因素可以減輕這些攻擊，但在所有其他條件相同的情況下，這是一個正確的假設嗎？

Answer 1

非阻塞服務通常會比阻塞服務爲用戶提供更多的系統資源。在所有系統資源都被攻擊用完之前，非阻塞服務的性能會更好，因爲合法用戶在攻擊發生時仍然可以履行請求。也就是說，真正的用戶在系統開始處理合法請求之前不必等待攻擊者的虛假請求完成。但是，考慮到系統資源暴露程度更高，DDoS攻擊可能對非阻塞服務更有效。

舉例來說，限制因素是數據庫訪問。非阻塞服務比阻塞服務能夠提供更多的數據庫請求。所以雖然非阻塞服務仍然可以接受合法的用戶請求，但他們將很難完成數據庫訪問，因爲攻擊者的請求能夠更好地保持數據庫的負載。

所以我會說是的 - 非阻塞更好 - 但只有當你能確保下游資源適當的大小。

Answer 2

DDoS攻擊可以針對不同的服務，比如ddns，web服務器，數據庫ar可以有不同的效果，比如自己重載服務器，或者cpu，或者填滿ram，或者嘗試寫入很多磁盤以便填寫它（今天更加罕見）或者只寫更多可寫的數據。

DDoS的一個非常常見的用法是解釋你的問題，它的目標是創建比服務器可以處理的連接更多的連接。 Web服務器的典型默認值是256（或許多系統中爲512）併發嘗試創建連接。在linux系統中，您可以在此處手動更改值，例如/ proc/sys/net/ipv4/tcp_max_syn_backlog。因此，通過創造更多的優勢（使用syn標誌發送數據包），它將導致拒絕服務。所以你使用的框架在第一時間沒有任何意義。另外，非阻塞框架每秒發出更多請求阻塞，這在很多情況下都會幫助攻擊者。在某些服務器和/或配置中，這將爲每個請求創建一個實例，這將有助於更多攻擊者。

所以你的假設是錯誤的。

Answer 3

不幸的是nodejs不會幫助DDoS，因爲它可以像任何其他服務器一樣簡單地重載，事實上，非阻塞不會改變任何東西，實際上可以更快地殺死服務器，因爲它會嘗試處理更多的請求而無需排隊他們。