秒杀系统 & 黑灰产 | 青训营笔记

Joson88
55 阅读2分钟

这是我参与「第五届青训营 」伴学笔记创作活动的第 14 天

这篇文章是《手把手教你做系统之秒杀系统》和《黑灰产监控与防御》两节课的笔记作业。

如何做系统设计

  • 场景分析
    什么系统,需要哪些功能,多大的并发量
  • 存储设计
    数据如何组织,Sql存储,NoSql存储
  • 服务设计
    业务功能实现与逻辑整合
  • 可扩展性
    解决设计缺陷,提高鲁棒性、扩展性

如何保证可用性和稳定性

  • 链路梳理:核心链路、流量漏斗、强弱依赖
  • 可观测性:链路追踪、核心监控、业务报警
  • 全链路测试:压力测试、负载测试、容量测试
  • 稳定性控制:系统限流、业务兜底、熔断降级
  • 容灾演练:混沌工程、应急手册、容灾预案

秒杀业务的特点

  • 瞬时流量高
  • 读多写少
  • 实时性要求高

秒杀的挑战

  • 资源成本
  • 反欺诈
  • 高性能
  • 防止超卖
  • 流量管控
  • 扩展性
  • 鲁棒性

黑产团伙的发展趋势

  • 规模化
    • 借助脚本、软件来实现攻击的批量化
    • 上游各类资源丰富,大大降低攻击成本同时攻击成功率也比较高
  • 组织化
    • 多数以工作室的形式运作
    • 团伙内多人分工明确,合作紧密
    • 某些黑产甚至成立了公司
  • 平台化
    • 近年来出现了很多平台级的爬虫、群控钓鱼、木马、网络攻击、DDoS攻击工具攻击成本大大降低,且难以追查
    • 各类平台将黑产手中零散的资源进行整合对黑产

常见的黑产技术分析

  • 人脸识别对抗
  • 地理位置对抗

安全防护体系的建设

  • 事前
    情报监控、SDLC、漏洞扫描
  • 事中
    渗透测试、威胁感知、风控/安全策略
  • 事后
    威胁建模、攻击溯源
avatar
文章
阅读
粉丝