为了听技术干货，小伙伴们也够拼的！

1月23日，寒风刺骨，北京入冬以来最冷的一天！这天下午，好雨云与开源社共同举办了好雨极客汇第二期，本次以《漫谈云端架构与运维的那些事儿》为主题的沙龙，邀请了来自椒图科技、折800分别负责架构和研发的技术大咖，探讨了监控、日志收集、以及CC防护等干货内容。

欲下载三位讲师的课件，请点击文章下方左下角【阅读原文】进行下载

谷枫 好雨云联合创始人

好雨云平台为团队提供一站式，开发、部署、运行和伸缩任何类型应用的云平台，同时提供数据服务、开发工具和企业信息服务，为产品和企业发展提供全方位支持。

谷枫和我们分享了想象与现实中监控的差距。

1、监控工具平台繁多，但多并不意味有用，过多的监控数据会影响用户分析和梳理故障原因和性能瓶颈。2、监控的目的。3、故障排查过程。4、服务性能监测

胡涛涛 云锁windows版本研发总监

云锁是基于操作系统内核加固技术的免费服务器安全管理软件，由国内信息安全厂商椒图科技自主研发，凝结操作系统内核加固领域数十年的经验积累，集合服务器安全、网站安全管理为一体，以操作系统内核加固技术为基础，同时开放网站安全防护、登录防护、流量防护、资源监控、系统优化、安全日志6大功能模块，有效抵御CC、SQL注入、XSS病毒、木马、webshell等黑客攻击，为广大服务器管理员打造高效、可靠、便捷的服务器安全管理方案。

胡涛涛分享的议题主要包含三方面：

一、常见CC攻击手段

1、 排队就餐理论

2、 使用代理攻击可最大程度绕过防火墙的检查，因为单个IP的请求数并不高。

如果使用200个代理，每个代理仅发起10个HTTP请求，瞬间就有2000个请求到达，若都是需要和数据库交互的页面，将导致CPU超级繁忙。

3、 有的站长看到服务器上的连接数不多，可能会认为没有攻击，实际这是一个误区，CC攻击并非依靠连接数，而是请求数，很少的几个连接即可发起大量的请求。

二、分析现有的防护方法

1、 WEB应用防火墙的云模式。它是一种全新的信息安全产品模式。这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护。

2、 主机层WEB防护软件。此类软件被安装在服务器上，WEB防护功能一般是编写Web服务器插件实现，可过滤Web请求，实现对SQL注入、XSS注入、CC攻击等的防护。有的软件还带有服务器保护、系统加固，防御病毒等功能，

例如云锁，远程CS多服务器管理，也是站长的一个选择。

三、手工加固

1、 区分攻击者与正常访客。CC攻击者的请求与普通浏览者的特性区别还是很大的，例如普通浏览者访问一个网页，必定会连续抓取网页的HTML文件、CSS文件、JS文件和图片等一系列相关文件，而CC攻击者仅仅只会抓取一个URL地址的文件，不会抓取其他类型的文件，其User Agent也大部分和普通浏览者不同，这就可以在服务器上很容易分辨出哪些访问者是CC攻击了，既然可以判断出攻击者的IP，那么预防措施就很简单，只需要批量将这些IP屏蔽，即可达到防范CC攻击的目的。

2、 网站内容静态化。能做成静态页面的尽量不要动态化。网易、新浪、搜狐等门户网站已完成大部分页面的静态化。一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了。至少到目前为止，HTML还未出现过溢出漏洞。

3、 自己编写Web插件。有编程能力的可以自己动手做防护。写一个前端用于验证的PHP页面、IIS模块、Apache模块等，这样我们就可以针对自己的业务有目的的防护，比如屏蔽国外IP、屏蔽特定浏览器、屏蔽代理等。

秦强强 折800技术架构师

折800隶属于国内专业团购导航网站团800，是一家超高性价比商品限时特卖的网站，每日聚合来自品牌直供商家、淘宝天猫商家专供折800网用户独享折扣的超划算网购商品信息，每日更新给力商品超过千余款。

秦强强主要介绍在分布式环境中如何通过ELK(elasticsearch + logstash + kibana) 来收集和分析日志，且深入ELK的运行原理来为大家分享在生产环境中遇到的问题及解决方案。

1、通过命令查看日志在分布式环境下的困境。相同的服务会在多台机器部署多个实例, 程序员并不知道哪台机器上有自己需要的日志；分布式调用会跨多个服务, 要排查出问题可能得排查多个服务产生的日志。

2、日志中心需要的点。要收集所有程序的日志, 所以它需要高容量高吞吐；在数据量极大的情况下还要查找快, 不能使用顺序扫描的方式, 只能使用搜索引擎的方式, 为日志文本建倒排索引；不要太复杂。

3、使用es的一些经验。单个实例内存使用最好别超过或等于32G；避免深度分页；尽量使用docvalues, 而不是fielddata；单机多实例时, 配置主从分片在不同的机器；设置合适的minimum_master_nodes, 防止脑裂；开启慢查询日志和gc日志。

4、访问日志接入es后, 会有哪些玩儿法。可以构建实时流量监测系统；实时监测异常流量；衍生出爬虫监控功能, ddos监控功能, 网速监控等功能。