面对分布式拒绝服务攻击导致的 API 超时,单纯调整服务端超时设置无法根本解决问题,优先接入流量清洗或 WAF 服务才是止血的关键,本地配置优化仅作为辅助手段。
先说结论:DDoS 攻击本质是资源耗尽,调整超时参数只能缓解症状,不能阻断攻击流量,必须结合上游防护和本地限流。
- 先判断:确认是网络层洪水还是应用层慢速攻击,查看服务器带宽和连接数监控。
- 优先做:接入 CDN 或云厂商的高防 IP,将攻击流量拦截在源站之前。
- 再验证:观察源站入站流量是否下降,API 错误率是否回归正常基线。
快速处理思路
在无法立即接入高防服务时,可以通过调整 Web 服务器配置来释放被占用的连接资源,但需注意这可能误伤正常用户。修改配置前务必备份,防止配置错误导致服务不可用。
# 备份配置文件
cp nginx.conf nginx.conf.bak
# Nginx 示例:http 块定义限流区,location 块启用限流
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;
server {
location /api/ {
# 启用限流,允许突发 5 个请求
limit_req zone=one burst=5 nodelay;
# 缩短超时时间,快速断开闲置连接
client_body_timeout 10s;
client_header_timeout 10s;
keepalive_timeout 15s;
send_timeout 10s;
}
}
}为什么会这样
分布式拒绝服务攻击通常通过耗尽服务器的连接池、带宽或 CPU 资源来导致服务不可用。API 响应超时往往是结果而非原因。如果攻击者发送大量慢速请求,服务器会长时间保持连接等待数据,导致合法用户无法获取连接槽位。单纯增加超时时间会让资源被占用更久,单纯减少超时时间可能切断正常的大文件上传或复杂查询。
分步处理
第一步:接入上游防护
联系云服务商开启 DDoS 防护或使用 CDN 隐藏源站 IP。这是唯一能从根本上解决带宽耗尽型攻击的方法。
第二步:调整 Web 服务器参数
以 Nginx 为例,适当降低超时设置,让异常连接更快释放。修改配置文件后执行 nginx -t 检查语法,然后 nginx -s reload 生效。若检查失败,立即使用备份恢复:cp nginx.conf.bak nginx.conf。
第三步:应用层限流
在 API 网关或代码层面增加频率限制,针对异常 IP 段进行封禁。确保有白名单机制,防止误封合作伙伴或内部服务。
业务场景参数调优参考
不同业务对超时的容忍度不同,盲目套用默认值可能导致业务异常。以下是常见场景的推荐配置参考:
| 业务场景 | 推荐超时设置 | 说明与风险 |
|---|---|---|
| 普通 API 查询 | 5-10s | 适用于大多数即时响应接口,设置过短可能中断复杂查询 |
| 文件上传/下载 | 60-300s | 需根据文件大小估算,过短会导致大文件传输失败 |
| 长轮询/WebSocket | 30-60s | 业务特定需求,需配合心跳机制,避免被误判为闲置连接 |
| 内部服务调用 | 3-5s | 内网延迟低,可设置更短以快速失败熔断 |
怎么验证是否生效
使用 netstat -an | grep ESTABLISHED | wc -l 查看当前活跃连接数是否下降。检查 Web 服务器错误日志,确认 504 Gateway Timeout 或 503 Service Unavailable 的比例是否降低。监控 CPU 和内存使用率,确认是否从高负载回落。
常见坑
不要将超时时间设置得过短,例如低于 5 秒,这会导致正常慢查询被中断。不要仅依赖本地防火墙封禁 IP,DDoS 攻击通常使用海量代理 IP,封禁效率低且消耗本机防火墙性能。避免在攻击高峰期重启服务,这可能导致连接状态丢失加剧拥堵。修改配置前未备份可能导致语法错误时无法快速回滚。