DDoS 防護策略
Vibe Prompt
「幫我設計多層次 DDoS 防護架構:Cloudflare → AWS WAF → Nginx Rate Limit → 應用層。」
多層防護
Layer 1: Cloudflare (全球 Anycast 網路)
├── L3/L4 DDoS 防護
├── WAF 規則
└── Rate Limiting
↓
Layer 2: AWS WAF
├── SQL Injection 規則
├── XSS 規則
└── IP 黑名單
↓
Layer 3: Nginx
├── 連接數限制
├── 頻寬限制
└── 地理限制
↓
Layer 4: 應用層
├── Rate Limiter (Redis)
├── CAPTCHA
└── 帳號鎖定
Cloudflare 設定
# DNS
vibe-tutor.com CNAME → Cloudflare Proxy (橘色雲朵)
# 安全層級
Security Level: High
Challenge Passage: 30 分鐘
Browser Integrity Check: 開啟
# Rate Limiting
規則: 每 IP 每分鐘 100 次請求
動作: JS Challenge
持續時間: 10 分鐘
Nginx 限制
# 連接數限制
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 10;
# 請求頻率限制
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/s;
limit_req zone=one burst=20 nodelay;
# 頻寬限制
limit_rate 1m;
緩解策略
| 手法 | 適用場景 | |------|---------| | Blackhole | 大規模攻擊時,將流量導向空路由 | | Rate Limiting | 應用層攻擊 | | Anycast | 分散流量到全球節點 | | Auto Scaling | 吸收正常流量增加 | | WAF | 過濾惡意請求 |