STUN (webrtc) 服务有啥好的 DDOS 防御方案吗？

😅对付 dd 的解决方案主要都是烧钱，烧钱，还是 TMD 烧钱。（或者像南山必胜客从各种渠道掌握证据直接上门送礼）

udp 源 IP 可以伪造。彻底解决只能上硬件防火墙。

tcp 可以用状态防火墙过滤大部分，防护起来的成本比 udp 少很多。udp 是无状态的，只能从分析数据包来防御。

STUN 禁掉 UDP 、只允许 TCP

@huahsiung 请问有什么 ddos 厂商可以搞定吗？像 cloudflare

@newshbb 面向国外的话国外的高防机器比较多，价格也不是很离谱。cloudflare 也有类似的 Spectrum ，Magic Transit 。

面向国内的话，高防 IP 价格比较离谱。可以去找有高防的机房，这个比找高防服务器便宜很多。

另外也可以看看百度云加速（ Cloudflare 的国内前妻 [已离婚] ）,京东云星盾（ Cloudflare 的国内现妻 [在婚状态] ）。
他们都有部分 Cloudflare 的技术。

tcp 和 udp 的 nat 类型不一定一样啊=。=

攻击最多的就是游戏，一般都是商业上的竞争。要么就是硬抗（花钱买高防），要么就想法隐藏自己，给攻击增加难度（一般攻击都是买的攻击流量，不会有很高明的手法）。

STUN 实在不行就用公共服务器吧。

turn 没办法，只能标准防护。

不能完全防住，但有缓解的方案。比如使用动态端口，前后端使用约定的算法，根据当前时间计算出端口号，并且端口白名单在云防火墙上设置，这样不符合的数据包直接被云防火墙过滤，不占入带宽/入流量。

同样的思路，还可以用敲门数据包，而且 webrtc 可以预先发一个带自定义数据的敲门 UDP 包（比如 https://github.com/EtherDream/js-port-knocking ）用于认证。

前端用 js/wasm 做好算法的混淆，可以过滤中小规模的垃圾流量。当然大流量直接把 IP 打进运营商黑洞的，那是无解的。

国内找高防机房，镇江 枣庄 武汉 徐州很多地方都有，几百到几千一月，比阿里便宜，但效果不确定，没用过

除了流量清洗，没啥好方案

@iqoo 我的客户端是开源的，很难搞

@huahsiung 我们是面向国外，没想到 ddos 来的这么快

@flyqie 我们不是标准 STUN ，我们是自己写的

饿，之前自己用 ebpf+xdp 框架写了个 ddos 防御的工具，简单粗暴，某 ip 连接频率超过阈值，直接在 xdp 那里把所有的网络请求全部丢弃

@fuckfaker DDoS 都是直接带宽打满，根本不给你清洗的机会。主机上看到的那点流量，已经是丢了很多包的，网络已经不可用了。。

@newshbb 国外的攻击更多，有些面向国内提供服务的，可以封禁所有国外网段，高防都提供这种清洗方式。你如果是面向国外提供服务，那这种方式都没用了。

基本上是打几天 UDP 反射放大攻击，一般都是几百 G 的攻击，如果防不住，就一直打。如果防住了，就改用肉鸡打 4 层或者 7 层的攻击，如果再抗住了，他们也会歇几天

@dhb233 我这里还没有把带宽打满的程度，更像是肉鸡，所有流量都是伪装成正常流量，只是消息频率比正常的高一些，客户端是开源的，攻击者很明显是看了源代码写的攻击软件。我已经清洗几万个 ip ，然后丢到 nfttables 的 ipset 里，现在情况好了点

@fuckfaker 我现在还是用 nftables 的 ipset 来搞，也想写 ebpf+xdp ，能够有开源推荐吗？演示代码也可以