所谓服务器架构,也就是如何将服务器各部分合理地安排,以实现最初的功能需求。所以,架构本无所谓正确与错误;当然,优秀的架构更有助于系统的搭建,对系统的可扩展性及可维护性也有更大的帮助。
服务器架构优化
1、一台“全能”的服务器
把应用系统网站、数据库、文件系统等都在一台服务器下,这样形成了最初级的服务器,一般是非常简单的应用,使用的用户量相当有限。一些企业的门户网站或刚上线使用的系统会采用这样的方式进行部署。
2、系统网站、数据库和文件系统不同的服务器进行部署
这个有先考虑的是把数据库和系统网站分离出来部署到不同的服务器。很多的系统网站很长一段时间都是把系统网站和文件服务器放在一起,把数据库分离出去后发现网站的性能没有多大的提升时,才考虑把文件系统从系统站点分离出去,减少读取文件带来了网络开销和IO读取。在配置服务是需要根据服务器所承载的职责用途分配不同性能的硬件设备,如文件服务器更需要考虑的是硬盘。
*** 作系统
Linux *** 作系统有很多个不同的发行版,如Red Hat Enterprise Linux、SUSE Linux Enterprice、Debian、Ubuntu、CentOS等,每一个发行版都有自己的特色,比如RHEL的稳定,Ubuntu的易用,基于稳定性和性能的考虑, *** 作系统选择CentOS(Community ENTerprise Operating System)是一个理想的方案。
CentOS(Community ENTerprise Operating System)是Linux发行版之一,是RHEL/Red Hat Enterprise Linux的精简免费版,和RHEL为同样的源代码,不过,RHEL和SUSE LE等企业版,提供的升级服务均是收费升级,无法免费在线升级,因此要求免费的高度稳定性的服务器可以用CentOS替代Red Hat Enterprise Linux使用。
LAMP网站架构图
Web服务器、缓存和PHP加速
Apache是LAMP架构最核心的Web Server,开源、稳定、模块丰富是Apache的优势。但Apache的缺点是有些臃肿,内存和CPU开销大,性能上有损耗,不如一些轻量级的Web服务器(例如nginx)高效,轻量级的Web服务器对于静态文件的响应能力来说远高于Apache服务器。
Apache做为Web Server是负载PHP的最佳选择,如果流量很大的话,可以采用nginx来负载非PHP的Web请求。nginx是一个高性能的>文本Tag: 虚拟化 在我们周围,我们看到许多企业的存储管理员正遭遇悄悄的变化。虽然IT人员每天的工作是和无形的数据打交道,但是长期以来IT人员总是可以方便地找到关键设备的"实体"和访问性。当问题发生时,管理员总是可以确定哪些交换机端口需要检查,哪台服务器可能是问题的所在,哪个HBA(主机总线适配器)需要查看,以及其他需要进一步检查的物理设备。但是在今天的数据中心中,这种便利性正在消失。 这种情况发生的部分原因是虚拟化。在现在的虚拟化浪潮中,一马当先的是服务器虚拟化,其他的变体还包括应用程序虚拟化,网络设备虚拟化,I/O虚拟化,存储虚拟化等。 同时,如今的IT架构已经扩展到超出控制。系统之间存在越来越高的互相依赖性,而且这些系统经常是在性能上限的情况下运行。对于一个特定的应用程序,其依赖性可能横跨多个应用程序,多台服务器,多个SAN(存储局域网)架构,多个I/O适配器甚至多个数据中心。在这些系统中,如果一个单一组件的性能上限被打破,通常情况下这些系统并不会出现性能逐渐下滑,但是会出现延迟时间变长,性能不断地变化和超出控制,I/O尝试越来越延迟,出现不断放弃并重复的I/O尝试,堵塞控制无法将这些I/O尝试予以排队、高速缓存或很好地控制。此外,由于如今的系统非常大,超过了传统管理工具所能管理的范围,因此传统的管理工具很快变得过时。面对日益增加的复杂性,以及任何变化都可能带来的灾难性后果的情况,许多管理员对此感到很无助。 缺少工具 无论系统是物理的还是虚拟的,现在都很难找到能够评估整体情况对架构进行细节分析的工具。管理员缺少足够的工具来获取分析数据,以便进行规划、性能管理、路由监视、合规或问题查找。 那么管理员现在是如何应对这些挑战的呢?从我们同终端用户的交谈中,我们估计现在85%以上的企业在管理并决定虚拟架构的时候依赖于它们最初对已知"好"设置的测试,或是纯粹单凭经验,而不是实际数据。这使得规划活动实际上变成了浪费,出现了资源过度配置,SLA(服务水平协定)无法得到保障,问题解决流程混乱,灵活性受限等情况。此外,随着设置随时间而变化,管理员无法确定他们现在的架构功能。我们发现80%以上的VMware用户还没有部署VMotion,而且这些用户在修改虚拟架构之后经常无法确定性能所受到的影响。 管理员所面临的挑战就是如何持续一致地获得关于对架构有意义的数据,在这方面,IT管理员就好像在未知的道路上驾驶一辆挡风玻璃一片模糊的汽车。但是时间正在改变这一切。 虚拟架构优化 如今,许多越来越复杂的技术可以帮助IT管理员扫除这方面的迷雾。这些解决方案统称为虚拟架构优化(VIO)。VIO工具能够访问整个虚拟架构,为管理员提供必要的数据来进行明智的决策,让管理员很好对每个架构层面(网络、服务器、存储以及应用程序)上的容量、利用率、性能进行管理。 在这个领域中,有些解决方案是专门解决架构中某一方面问题的,比如容量、分析等。在这方面,不仅有比较成熟的解决方案,而且还有来自新厂商的产品。这些产品和解决方案包括BMC的VSM 解决方案,Novell的PlateSpin,惠普的VSE,VMware的Capacity Planner,Virtugo的virtualSuite, Hyperic,TwinStrata的 Clarity AP,以及Computer Associates的 ASM。虽然这些解决方案在路由规划上有一席之地,但是它们无法满足如今的虚拟架构管理需求:架构分析数据。 一些其他的解决方案可以让管理员可以实时或接近实时地监视和管理架构的多个方面的问题。这些解决方案提供了整合的监视和分析,可用于全局地优化虚拟架构或查找解决虚拟架构的问题,它们的管理范围横跨多个方面--从应用程序一直到磁盘。此外,这种解决方案提供了精细的数据以供决策制定使用。如果没有对性能的智能评估,容量和资源利用的规划只能在假设的基础上进行,而这种假设可能不适用于其中的某个系统,且实际情况随时都可能发生变化。 在Taneja Group看来,这种实时或近实时的以性能为基础的分析工具对于虚拟架构的构建和管理来说是非常必要的。 在这个领域,厂商及其解决方案有:Virtual Instrument的VirtualWisdom,Akorri的BalancePoint,Onaro的SANscreen VMInsight以及BlueStripe的FactFinder。 为什么需要虚拟架构优化 VIO是虚拟架构运营的关键一环,但是这些新兴的VIO解决方案会比其他解决方案更好吗?在我们看来,它们构建了更为综合的数据集,而这种数据集可以作为虚拟架构管理的基础。为了澄清这一点,我们提出了五个主要的战略问题,这五个问题是每个终端用户在选择虚拟架构管理工具的时候都应该考虑的。这些问题可以帮助用户确认VIO技术所能带来的好处,并评估它们的VIO或管理平台在解决虚拟架构问题上的表现。 我是否可以有效地规划、设计、决定我的架构,让架构可以最充分的利用现有的系统并获得100%的预想效果? VIO将在架构规划和 *** 作修改上减少运营成本和复杂性。如今,有很多不必要的时间被花在了初始设置的确认上,而且每次修改完成后都需要对潜在性能和利用率的影响进行评估。VIO提供了完善的数据集,让管理员可以很方便地且一目了然地了解架构功能及其影响,且VIO还提供了如何优化设置的信息。 我是否可以很快地找到性能问题的根源所在,并很快发现系统环境所发生的事件或变化? VIO解决方案不仅可以为组织提供正确的信息以避免误设置,而且VIO工具还可以提供实时或近实时的可视性,让管理员可以一目了然地观察环境所发生的变化,让管理员可以迅速确认性能异常及其根源所在。VIO解决方案可以抓取历史数据,提供审计跟踪,确认问题发生的时间,以及系统所发生的情况。 我是否可以确定地知道我是否合理地利用了服务器、存储、虚拟机及其他架构? 适合的VIO解决方案可以方便地确认出运营中的峰值和低谷,避免过度配置,从而节省资本成本。这些解决方案可以协助管理员动态地、智能地平衡整个架构,确保即使是最小的架构也不会遇到性能问题。 我是否可以确定地知道虚拟技术是否对我的架构产生了负面影响,我是否可以在没有厂商帮助的情况下确认出问题所在? VIO解决方案可以为你提供所需的数据,确定哪些系统是问题所在,以及这些系统是否对你的架构产生了有害的影响。 我是否可以安全地实施并利用虚拟技术的全部功能,以提高我的 *** 作效率,改善IT功能? 像VMotion这样技术之所以未能广泛推广,是因为IT人员不知道使用这种技术后会发生什么。如果没有正确的支持性数据,那么这种自动化架构和政策有可能是危险的地雷,它们有可能不明智地对架构采取错误的 *** 作。这也就是为什么针对VMotion这样的自动化、存储变化、访客重设置、I/O管理等解决方案的策略和工具没有得到广泛利用。但是VIO可以提供足够的智能性,从而避免潜在的灾难性后果。VIO对环境所发生的变化和 *** 作提供了预测性的描述,并确保事情总是在预料之内。 VIO帮助实现更好的控制 如果你对这些问题的回答是"不是",或者觉得这些问题听起来很熟悉的话,那么你很可能没有很好地控制你的架构,就好像在未知的路径上驾驶一辆挡风玻璃一片模糊的汽车。这样做会使你浪费时间、精力、资源,而这种代价可能是很高昂的。目前为止,市面上的VIO解决方案可以帮助管理员拨清迷雾。这些解决方案采用了连续一致的,以性能为中心的分析手段,能够指出数据中心各层(从应用程序到存储磁盘,无论是应用程序、虚拟机、 *** 作系统、网络、存储或SAN厂商都可以)之间设置、变化以及事件的关联。VIO所使用的数据通常是通过网线直接获取,这些集中的数据提供了跨域性能和事件的信息,因此VIO可以作为一个主监控器,实现 *** 作监视、设置浏览等功能,还可以在整个数据中心中触发变化。 VIO不像生命周期管理、设置管理这样的点解决方案,这些解决方案有可能因为非智能的自动化 *** 作无意中产生负面影响,VIO协调的是整个数据中心。让我们来看看VIO解决方案的核心功能,然后再看看不同产品的差别在哪里。 1:通过实际数据,给出详细的可视性 VIO解决方案能够抓取实时数据,为全局架构管理提供最好的支撑,其数据之详细,可以抓取任何时间内的变化,并提供必要的详细数据来检测并纠正因变化所引起的问题。在抓取详细数据这方面,VIO产品有几个点和其他产品不同: 首先,管理员必须评估该解决方案所给出的数据详细程度。定时取样,加上先进的算法,可以为规划奠定很好的基础,但是还不能为问题解决提供实时的可视性。市场上有越来越多的解决方案可以获取实时数据,比如Virtual Instrument的VirtualWisdom。 其次,管理员必须评估这个解决方案是如何获取数据的。一些VIO产品依赖于代理端的方式,一些则主动通过可用的API(应用程序编程接口)获取数据,一些通过网线获取数据。对于每种方式,用户都必须考察其复杂性,持续管理,数据详细性,以及架构中需要传输的潜在数据集的大小。 2:对整个虚拟架构的全局视角 VIO解决方案的分析范围必须覆盖企业的每个层。Taneja Group的分析师经常在文章中提醒读者跨域关联技术越来越重要。在VIO下,跨域关联是采取智能化行动的基础,这样才能避免对结果的胡乱猜测。管理员得到这种综合信息,才能采取行动来纠正错误,比如过多的LUN(逻辑单元号)传输,而不必担心它们会产生另一个问题,比如过多的交换机端口传输。但是VIO解决方案的综合性数据的能力也各有不同,有时限于特定的 *** 作系统或存储设备。这种受限的解决方案无法统观全局,但是它们也有其他优点,比如可以通过复杂的算法对系统行为特征进行检查。用户可以评估不同方式的优缺点,观察这种解决方案是否可以为用户带来他们所需的架构某一方面的可视性。 3:可 *** 作的关联数据 全局可视性是一回事,提供可 *** 作的数据就是另一回事了。VIO解决方案在这些方面也各有不同:提供多少数据,从哪些系统中抓取数据,这些数据可以激起或触发什么类型的活动。从网线上抓取数据的解决方案在这方面有自己的优势,这种解决方案可以看到环境中所有的事情,而不仅仅是各个节点的数据传输或性能。当一个解决方案是建立在实时数据基础上的时候,就可以让用户深入了解系统性能,简化问题解决的方式,实现对SLA或合规活动的审计。 4:可扩展性和互 *** 作性 最后,各种解决方案与企业系统的整合深度有所不同。VIO产品在自动触发活动的能力上也有所不同。此外,具有适合功能的实时的VIO解决方案可以提供正确的数据和API来实现对其他工具(比如惠普Openview,IBM Tivoli,CA Unicenter,VMware vCenter Server或定制脚本)的更好利用。用户必须评估他们需要VIO和其他技术整合到什么程度,这些技术包括存储管理工具、虚拟机、虚拟交换机等。寻找符合你需要的可扩展性。 可视性 一些名为VIO的解决方案给用户提供的是自动导航架构,而没有为用户提供详细的数据。用户仍然无法看到周围发生了什么,但是这些厂商可以提供管理架构,帮助用户自动化路由活动,并保持对政策和最佳实践的遵守。不幸的是,用户仍然缺乏关于数据中心实际情况的详细的可视性。 以性能管理为导向的VIO解决方案可以为用户拨开迷雾,能够为用户提供关于数据中心各个方面的有用的关联数据。如今产品之间的差异化在于数据的详细程度,以及厂商是如何将这些细节转化为可 *** 作的数据集。厂商将细节转化为可 *** 作数据集的途径可以是为管理员提供有用分析或总结,或是整合其他系统并自动采取行动,或是两者兼有。 在Taneja Group看来,虚拟架构优化将成为为下一代数据中心定义功能的关键技术。虽然如今该技术是只是提供实时智能性,为架构行为和反应提供基础,但是该技术最终将推动在整个数据中心的各个系统之间实现更好的协调,并帮助实现更加自动化、更加具有d性的计算环境,以便更好地回应不断变化的商业需求。这些技术的未来潜力很大,它们提供了关键的可视性。从我们的角度看,这些解决方案是所有虚拟化战略的基石,在所有数据中心管理工具集中都应该包含它们。
按服务器的处理器架构(也就是服务器CPU所采用的指令系统)划分把服务器分为CISC架构服务器、RISC架构服务器和VLIW架构服务器三种。 CISC的英文全称为“Complex Instruction Set Computer”,即“复杂指令系统计算机”,从计算机诞生以来,人们一直沿用CISC指令集方式。早期的桌面软件是按CISC设计的,所以,微处理器(CPU)厂商一直在走CISC的发展道路,包括Intel、AMD,还有其他一些已经更名的厂商,如TI(德州仪器)、Cyrix以及VIA(威盛)等。在CISC微处理器中,程序的各条指令是按顺序串行执行的,每条指令中的各个 *** 作也是按顺序串行执行的。顺序执行的优点是控制简单,但计算机各部分的利用率不高,执行速度慢。CISC架构的服务器主要以IA-32架构(Intel Architecture,英特尔架构)为主,而且多数为中低档服务器所采用。
如果企业的应用都是基于NT平台的应用,那么服务器的选择基本上就定位于IA架构(CISC架构)的服务器。如果企业的应用主要是基于Linux *** 作系统,那么服务器的选择也是基于IA结构的服务器。如果应用必须是基于Solaris的,那么服务器只能选择SUN服务器。如果应用基于AIX(IBM的Unix *** 作系统)的,那么只能选择IBM Unix服务器(RISC架构服务器)。 台式服务器也称为“塔式服务器”。有的台式服务器采用大小与普通立式计算机大致相当的机箱,有的采用大容量的机箱,像个硕大的柜子。低档服务器由于功能较弱,整个服务器的内部结构比较简单,所以机箱不大,都采用台式机箱结构。这里所介绍的台式不是平时普通计算机中的台式,立式机箱也属于台式机范围,这类服务器在整个服务器市场中占有相当大的份额。
优点:塔式服务器它的外形以及结构都跟我们平时使用的立式PC差不多,由于服务器的主板扩展性较强、插槽也多出一堆,所以个头比普通主板大一些,因此塔式服务器的主机机箱也比标准的ATX机箱要大,一般都会预留足够的内部空间以便日后进行硬盘和电源的冗余扩展。
由于塔式服务器的机箱比较大,服务器的配置也可以很高,冗余扩展更可以很齐备,所以它的应用范围非常广,应该说目前使用率最高的一种服务器就是塔式服务器。
缺点:目前常见的入门级和工作组级服务器基本上都采用这一服务器结构类型,不过由于只有一台主机,即使进行升级扩张也有个限度,所以在一些应用需求较高的企业中,单机服务器就无法满足要求了,需要多机协同工作,而塔式服务器个头太大,独立性太强,协同工作在空间占用和系统管理上都不方便,这也是塔式服务器的局限性。不过,总的来说,这类服务器的功能、性能基本上能满足大部分企业用户的要求,其成本通常也比较低,因此这类服务器还是拥有非常广泛的应用支持。 机架式服务器的外形看来不像计算机,而像交换机,有1U(1U=175英寸)、2U、4U等规格。机架式服务器安装在标准的19英寸机柜里面。这种结构的多为功能型服务器。
优点:作为为互联网设计的服务器模式,机架服务器是一种外观按照统一标准设计的服务器,配合机柜统一使用。可以说机架式是一种优化结构的塔式服务器,它的设计宗旨主要是为了尽可能减少服务器空间的占用,而减少空间的直接好处就是在机房托管的时候价格会便宜很多。
很多专业网络设备都是采用机架式的结构(多为扁平式,就像个抽屉),如交换机、路由器、硬件防火墙这些。机架服务器的宽度为19英寸,高度以U为单位(1U=175英寸=4445毫米),通常有1U,2U,3U,4U,5U,7U)几种标准的服务器。机柜的尺寸也是采用通用的工业标准,通常从22U到42U不等;机柜内按U的高度有可拆卸的滑动拖架,用户可以根据自己服务器的标高灵活调节高度,以存放服务器、集线器、磁盘阵列柜等网络设备。服务器摆放好后,它的所有I/O线全部从机柜的后方引出(机架服务器的所有接口也在后方),统一安置在机柜的线槽中,一般贴有标号,便于管理。
缺点:机架式服务器因为空间比塔式服务器大大缩小,所以这类服务器在扩展性和散热问题上受到一定的限制,配件也要经过一定的筛选,一般都无法实现太完整的设备扩张,所以单机性能就比较有限,应用范围也比较有限,只能专注于某一方面的应用,如远程存储和Web服务的提供等 在一些高档企业服务器中由于内部结构复杂,内部设备较多,有的还具有许多不同的设备单元或几个服务器都放在一个机柜中,这种服务器就是机柜式服务器。
对于证券、银行、邮电等重要企业,则应采用具有完备的故障自修复能力的系统,关键部件应采用冗余措施,对于关键业务使用的服务器也可以采用双机热备份高可用系统或者是高性能计算机,这样的系统可用性就可以得到很好的保证。 刀片式服务器是一种HAHD(High Availability High Density,高可用高密度)的低成本服务器平台,是专门为特殊应用行业和高密度计算机环境设计的,其中每一块“刀片”实际上就是一块系统母板,类似于一个个独立的服务器。在这种模式下,每一个母板运行自己的系统,服务于指定的不同用户群,相互之间没有关联。不过可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下,所有的母板可以连接起来提供高速的网络环境,可以共享资源,为相同的用户群服务。当前市场上的刀片式服务器有两大类:一类主要为电信行业设计,接口标准和尺寸规格符合PICMG(PCI Industrial Computer Manufacturer's Group)1x或2x,未来还将推出符合PICMG 3x 的产品,采用相同标准的不同厂商的刀片和机柜在理论上可以互相兼容;另一类为通用计算设计,接口上可能采用了上述标准或厂商标准,但 尺寸规格是厂商自定,注重性能价格比,属于这一类的产品居多。刀片式服务器目前最适合群集计算和IxP提供互联网服务。
优点:刀片服务器适用于数码媒体、医学、航天、军事、通讯等多种领域。其中每一块“刀片”实际上就是一块系统主板。它们可以通过本地硬盘启动自己的 *** 作系统,如Windows NT/2000、Linux、Solaris等等,类似于一个个独立的服务器。
在这种模式下,每一个主板运行自己的系统,服务于指定的不同用户群,相互之间没有关联。不过可以用系统软件将这些主板集合成一个集群服务器。在集群模式下,所有的主板可以连接起来提供高速的网络环境,可以共享资源,为相同的用户群服务。在集群中插入新的“刀片”,就可以提高整体性能。而由于每块“刀片”都是热插拔的,所以,系统可以轻松地进行替换,并且将维护时间减少到最小。值得一提的是,系统配置可以通过一套智能KVM和9个或10个带硬盘的CPU板来实现。CPU可以配置成为不同的子系统。一个机架中的服务器可以通过新型的智能KVM转换板共享一套光驱、软驱、键盘、显示器和鼠标,以访问多台服务器,从而便于进行升级、维护和访问服务器上的文件。
根据全球 游戏 和全球移动互联网行业第三方分析机构Newzoo的数据显示:2017年上半年,中国以275亿美元的 游戏 市场收入超过美国和日本,成为全球榜首。
游戏 行业的快速发展、高额的攻击利润、日趋激烈的行业竞争,让中国 游戏 行业的进军者们,每天都面临业务和安全的双重挑战。
游戏 行业一直是竞争、攻击最为复杂的一个江湖。 曾经多少充满激情的创业团队、玩法极具特色的 游戏 产品,被互联网攻击的问题扼杀在摇篮里;又有多少运营出色的 游戏 产品,因为遭受DDoS攻击,而一蹶不振。
DDoS 攻击的危害
小蚁安盾安全发布的2017年上半年的 游戏 行业DDoS攻击态势报告中指出:2017年1月至2017年6月, 游戏 行业大于300G以上的攻击超过1800次,攻击最大峰值为608G; 游戏 公司每月平均被攻击次数高达800余次。
目前, 游戏 行业因DDoS攻击引发的危害主要集中在以下几点:
• 90%的 游戏 业务在被攻击后的2-3天内会彻底下线。
• 攻击超过2-3天以上,玩家数量一般会从几万人下降至几百人。
• 遭受DDoS攻击后, 游戏 公司日损失可达数百万元。
为什么 游戏 行业是 DDoS 攻击的重灾区?
据统计表明,超过50%的DDoS和CC攻击,都在针对 游戏 行业。 游戏 行业成为攻击的重灾区,主要有以下几点原因:
• 游戏 行业的攻击成本低,几乎是防护成本的1/N,攻防两端极度不平衡。 随着攻击方的手法日趋复杂、攻击点的日趋增多,静态防护策略已无法达到较好的效果,从而加剧了这种不平衡。
• 游戏 行业生命周期短。 一款 游戏 从出生到消亡,大多只有半年的时间,如果抗不过一次大的攻击,很可能就死在半路上。黑客也是瞄中了这一点,认定只要发起攻击, 游戏 公司一定会给保护费。
• 游戏 行业对连续性的要求很高,需要7 24小时在线。 因此如果受到DDoS攻击,很容易会造成大量的玩家流失。在被攻击的2-3天后,玩家数量从几万人掉到几百人的事例屡见不鲜。
• 游戏 公司之间的恶性竞争,也加剧了针对行业的DDoS攻击。
游戏 行业的 DDoS 攻击类型
• 空连接 攻击者与服务器频繁建立TCP连接,占用服务端的连接资源,有的会断开、有的则一直保持。空连接攻击就好比您开了一家饭馆,黑帮势力总是去排队,但是并不消费,而此时正常的客人也会无法进去消费。
• 流量型攻击 攻击者采用UDP报文攻击服务器的 游戏 端口,影响正常玩家的速度。用饭馆的例子,即流量型攻击相当于黑帮势力直接把饭馆的门给堵了。
• CC攻击 攻击者攻击服务器的认证页面、登录页面、 游戏 论坛等。还是用饭馆的例子,CC攻击相当于,坏人霸占收银台结账、霸占服务员点菜,导致正常的客人无法享受到服务。
• 假人攻击 模拟 游戏 登录和创建角色过程,造成服务器人满为患,影响正常玩家。
• 对玩家的DDoS攻击 针对对战类 游戏 ,攻击对方玩家的网络使其 游戏 掉线或者速度慢。
• 对网关DDoS攻击 攻击 游戏 服务器的网关,导致 游戏 运行缓慢。
• 连接攻击 频繁的攻击服务器,发送垃圾报文,造成服务器忙于解码垃圾数据。
游戏 安全痛点
• 业务投入大,生命周期短 一旦出现若干天的业务中断,将直接导致前期的投入化为乌有。
• 缺少为安全而准备的资源 游戏 行业玩家多、数据库和带宽消耗大、基础设施资源准备时间长,而安全需求往往没有被 游戏 公司优先考虑。
• 可被攻击的薄弱点多 网关、带宽、数据库、计费系统都可能成为 游戏 行业攻击的突破口,相关的存储系统、域名DNS系统、CDN系统等也会遭受攻击。
• 涉及的协议种类多 难以使用同一套防御模型去识别攻击并加以防护,许多 游戏 服务器多用加密私有协议,难以用通用的挑战机制进行验证。
• 实时性要求高,需要7 24小时在线 业务不能中断,成为DDoS攻击容易奏效的理由。
• 行业恶性竞争现象猖獗 DDoS攻击成为打倒竞争对手的工具。
如何判断已遭受 DDoS 攻击?
假定已排除线路和硬件故障的情况下,突然发现连接服务器困难、正在 游戏 的用户掉线等现象,则说明您很有可能是遭受了DDoS攻击。
目前, 游戏 行业的IT基础设施一般有 2 种部署模式:一种是采用云计算或者托管IDC模式,另外一种是自行部署网络专线。无论是前者还是后者接入,正常情况下, 游戏 用户都可以自由流畅地进入服务器并进行 游戏 娱乐 。因此,如果突然出现以下几种现象,可以基本判断是被攻击状态:
• 主机的IN/OUT流量较平时有显著的增长。
• 主机的CPU或者内存利用率出现无预期的暴涨。
• 通过查看当前主机的连接状态,发现有很多半开连接;或者是很多外部IP地址,都与本机的服务端口建立几十个以上的ESTABLISHED状态的连接,则说明遭到了TCP多连接攻击。
• 游戏 客户端连接 游戏 服务器失败或者登录过程非常缓慢。
• 正在进行 游戏 的用户突然无法 *** 作、或者非常缓慢、或者总是断线。
DDoS 攻击缓解最佳实践
目前,有效缓解DDoS攻击的方法可分为 3 大类:
• 架构优化
• 服务器加固
• 商用的DDoS防护服务
您可根据自己的预算和遭受攻击的严重程度,来决定采用哪些安全措施。
架构优化
在预算有限的情况下,建议您优先从自身架构的优化和服务器加固上下功夫,减缓DDoS攻击造成的影响。
部署 DNS 智能解析
通过智能解析的方式优化DNS解析,有效避免DNS流量攻击产生的风险。同时,建议您托管多家DNS服务商。
• 屏蔽未经请求发送的DNS响应信息 典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。
但值得注意的是,响应信息是不会主动发送的。服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,这些回应就应被丢弃。
• 丢弃快速重传数据包 即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可被丢弃。
• 启用TTL 如果DNS服务器已经将响应信息成功发送了,应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。
对于一个合法的DNS客户端,如果已经接收到了响应信息,就不会再次发送相同的查询请求。每一个响应信息都应进行缓存处理直到TTL过期。当DNS服务器遭遇大量查询请求时,可以屏蔽掉不需要的数据包。
• 丢弃未知来源的DNS查询请求和响应数据 通常情况下,攻击者会利用脚本对目标进行分布式拒绝服务攻击(DDoS攻击),而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。
• 丢弃未经请求或突发的DNS请求 这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。无论是哪一种情况,都应该直接丢弃这类数据包。
非泛洪攻击 (non-flood) 时段,可以创建一个白名单,添加允许服务器处理的合法请求信息。白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。
这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。
• 启动DNS客户端验证 伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。
• 对响应信息进行缓存处理 如果某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。
• 使用ACL的权限 很多请求中包含了服务器不具有或不支持的信息,可以进行简单的阻断设置。例如,外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。
• 利用ACL,BCP38及IP信誉功能 托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。
同时,也存在某些伪造的数据包可能来自与内部网络地址的情况,可以利用BCP38通过硬件过滤清除异常来源地址的请求。
部署负载均衡
通过部署负载均衡(SLB)服务器有效减缓CC攻击的影响。通过在SLB后端负载多台服务器的方式,对DDoS攻击中的CC攻击进行防护。
部署负载均衡方案后,不仅具有CC攻击防护的作用,也能将访问用户均衡分配到各个服务器上,减少单台服务器的负担,加快访问速度。
使用专有网络
通过网络内部逻辑隔离,防止来自内网肉鸡的攻击。
提供余量带宽
通过服务器性能测试,评估正常业务环境下能承受的带宽和请求数,确保流量通道不止是日常的量,有一定的带宽余量可以有利于处理大规模攻击。
服务器安全加固
在服务器上进行安全加固,减少可被攻击的点,增大攻击方的攻击成本:
• 确保服务器的系统文件是最新的版本,并及时更新系统补丁。
• 对所有服务器主机进行检查,清楚访问者的来源。
• 过滤不必要的服务和端口。例如,>单点系统存在的问题:可用性问题,性能瓶颈问题。
1、shadow-master是一种常见的解决单点系统可用性问题的方案;
2、减少与单点的交互,是存在单点的系统优化的核心方向,常见方法有批量写,客户端缓存;
3、水平扩展也是提升单点系统性能的好方案。
修改IIS最大工作进程数 a 请考虑以下几点 每一个工作进程都会消耗系统资源和CPU占用率 太多的工作进程会导致系统资源和CPU利用率的急剧消耗 每一个工作进程都具有自己的状态数据 如果Web应用程序依赖于工作进程保存状态数据 那么可能不支持使用多个工作进程 成资源竞争 让多个工作进程运行同一个应用程序会造成资源竞争 b 修改ISS最大工作进程数提高该应用程序池处理请求的性能 在IIS 的Web园(Web Garden)中 指定用于某个应用程序池的工作进程的数量就可以提高该应用程序池处理请求的性能 当服务器的负载较小 不需要额外的工作进程时 IIS 在一定的时间后(默认 分钟 可配置)自动缩减实际的工作进程数量 如果负载变大 需要额外的工作进程 IIS 再次增加工作进程数量 这一切 *** 作都自动进行 不需要管理员干预 修改方法如下 修改服务器 net framework的machine config的配置 目录 C:WINDOWSMicrosoft NETFramework v CONFIGmachine config 将其中的“processModel”节点的“allowDefinition”值设置为“Everywhere” 修改服务器中的iis最大工作进程数: 方法 右击iis应用程序池 > 属性 > “性能”选项卡 > web园 > 最大工作进程数 注 经测试验证 服务器为 ( )核 G内存时 设置为 性能最优 (PS: processModel 元素(ASP NET 设置架构) 元素配置用于服务器(包括服务器上的所有 ASP NET 应用程序)的处理模型 因此 processModel 设置只能放在 Machine config 文件中 而且不能被任何 Web config 文件中的设置重写 ) 取消IIS的web访问记录 a 关闭IIS访问记录可以提升web性能 IIS 默认开启对于web的IIS访问记录 当开启记录功能后 IIS会事无巨细地忠实记录所有的IIS访问记录 这些记录文件的内容是非常庞杂的 比如访问时间 客户端IP 从哪个链接访问 Cookies等 另外还包括 Method(方法) UserAgent(用户代理)等 这些记录不但占用大量的磁盘空间还大大地影响了web服务器的性能 有人做过评测 停止IIS访问记录可以提升 %到 %的web性能 方法 打开IIS管理器 定位到具体的web站点 右键点击选择“属性” 在“主目录”选项卡下取消对“记录访问”的勾选即可 Web config配置优化(生产环境) 去除无用>
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)