记一次挫败的面试

前段时间去一家公司面试，一上来就被面试官狂轰乱炸，其实别的也没问啥，主要是为了一些并发问题，个人感觉他们应该是遇到了什么问题，想寻求个解决方案。郁闷的是下面这个问题。。

问：如何解决针对API接口的DOS攻击？

答：可以限制接口访问峰值，限制访问连接数，超过最大值则限制。也可以增加带宽，但是成本会增加。对一些容易被攻击的接口（比如注册短信接口）可以采用一些安全验证，比如图形验证码等。

问：限制访问会导致一些正常用户也出现被拒绝的问题，该怎么解决？

答：这种情况下最好的办法就是增加带宽，避免因DOS攻击导致网络瘫痪，比如阿里云的高防，可以在很大程度上避免网络瘫痪出现。如果考虑成本因素，则采用限制访问的方式，对容易被攻击的接口限制某时间间隔内的访问量，给系统降级，缓解服务器压力，可能会有部分正常用户也出现拒绝访问的问题，但不至于整个网站瘫痪。

问：这种解决方案用户体验很差，阿里的高防很垃圾的，根本防不住，还有其他解决方案吗？

答：。。。。。。（这方面遇到的情况很少，没有太多经验，有点懵逼了。。。。）。直接回答一时间也想不出其他方案了

（面试官很鄙视的看着本人。。）面试官：其实还可以用IP白名单啊，也可以换一个域名啊，这样就不会被攻击了吧？

。。。。（持续懵逼中。。。）

不敢回答了，本人承认怂了，因为不懂啊，不敢乱说啊。。。

现在也没想明白给移动端提供的API接口如果加IP白名单啊，感觉这几年做移动端后台白做了，可是真的做不到啊，如何加白名单？有没有大神可以告诉我，难道要求每个用户必须提供自己使用的IP，然后只能在这个IP访问？不懂。。。

再说更换域名，ok，这个很简单，分分钟搞定，可是。。。可是前端怎么办，移动端要提审上架的啊，这段时间不用理会攻击吗？IOS可能要几天的时间啊。。 就算很快，那老用户怎么办？一定要强制更新吗？这也好说，如果刚还了域名又被抓包，再次攻击呢？没事换域名玩吗？

后面直接陷入了这个问题的死循环中，草草结束了面试，逃了出来。。。。