这是我参与「第五届青训营 」伴学笔记创作活动的第 10 天
系统瓶颈发现
- 火焰图分析
- 链路追踪
- 性能测试
保证可用性和稳定性
- 链路梳理:核心链路、流量漏斗、强弱依赖
- 可观测性:链路追踪、核心监控、业务报警
- 全链路测试:压力测试、负载测试、容量测试
- 稳定性控制:系统限流、业务兜底、熔断降级
- 容灾演练:混沌工程、应急手册、容灾预案
电商秒杀业务
特点
- 瞬时流量高
- 读多写少
- 实时性要求高
挑战
- 扩展性
- 资源成本
- 鲁棒性
分析
场景
功能和并发要求
存储
类目、类目属性(id,att_key)...
服务
- 子服务:用户服务、风控服务、活动服务、订单服务
- 基础组件:ID生成器(分布式id)、缓存组件、MQ组件、限流组件
扩展
tips:预扣库存时,不直接操作db,因为涉及行锁,效率会较低。应该在缓存中操作
黑灰产预防
发展趋势
- 规模化:借助脚本、软件实现攻击的批量化;上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高。
- 组织化:多数以工作室的形式运作。
- 平台化:各类平台将黑产手中零散的资源进行整合;平台级的爬虫,群控,钓鱼,木马,网络攻击,DDOS攻击工具,攻击成本大大降低,且难以追查。
常见黑产技术分析
- 银行业务逻辑漏洞(数字人民币的几类钱包等):前端验证的弊端,而且银行应用外包,大多使用的是一套的系统。
- 人脸识别对抗:人脸识别(照片->活体)
- 正常用户定位分布(地理位置对抗):虚拟定位工具(定位打卡、摇一摇附近的人、出租车抢单、某些线下使用的优惠)
安全防护体系建设
事前
- 情报监控(暗网、贴吧、TG、论坛)
- SDLC
- 漏洞扫描
事中
- 渗透测试
- 威胁感知
- 风控/安全策略
事后
- 威胁模型
- 攻击溯源
