大家怎么对抗这样的 DDoS 攻击？

前面挂一个 nginx 就好了

@Antidictator 用 IP shared 模式就好了。
@ovear 刚才已经挂了 nginx

这算 CC 吧……看起来全是请求正常的内容

除了抗 D 的主机外，如果 IP 随机性很高没法封(无论 Server Config 还是 iptables)
那还可以考虑用 mod_security2 这类 WAF
限制被攻击文件的访问频率 过高的 IP 暂时 Block 掉

12.4 reqs/s, 毛毛雨都算不上……

ip 在几万以下直接 iptables 封杀

Apache 啊……当然咯
你用 Nginx 嘛，都不用限制频率
不要用 Nginx 反代，反代没有任何意义

你这是 cc 不是 DDoS

DDoS 发包不会访问你 web 的 直接暴力干掉你服务器的带宽和 cpu

如果只是这样的攻击，一般称"CC"攻击。你可以使用 ossec，根据日志的访问频率，或者自己写规则，把访问量大的 IP，拉到系统防火墙里。这样 apache 的压力就没了。但是如果还有网络层的攻击，如 SYN flood、udp flood、tcp 分片等等。那就看你的主机带宽和性能了。一般来说几台肉鸡多开 syn flood，就可以搞死一台性能不错的服务器。
ossec 有个坑，就是 iptables 的拉黑 IP 不能太多，不让 iptables 可能假死。所以你还要设置被拉黑 IP 的释放时间，根据实际情况自己调整。

被 D，最害怕的是什么？是不知道会攻击多长时间，不知道下一波流量有多大，不知道是谁，什么目的，而且警察不立案。买高防，钱就是无底洞。
亲身经历峰值 30G 的 DDOS，放在腾讯云上，但是 IP 被运营商拉黑了。因为影响整个机房带宽了。。。。

拔网线换 ip

我好奇 return 444 会不会比 404/403 好些？

你这不是 ddos，只是 cc

@evil4ngl3 我已经加了 iptables，而且是定时去加的。

加百度加速云 免费版的抗 d 效果挺不错的

@hzlzh 直接加 iptables，而不是用 ipset 的话，可能效果很差

@just1 感觉 OVH 是误杀了，根本就是正常请求，给我拦掉了

看了楼上说 CC 不算 DDoS，就特地看了下 Wiki，里面说 CC 是 DDoS 的一种

@hzlzh 多提供一些 IP 地址，扫描一下开放端口，反黑回去，在肉鸡上找到 DDos 的工具，分析一下。

直接使用第三方抗 D 服务啊。用了 1 年多的知道创宇抗 D 保，效果不错，然再在抗 D 保的控制面板中根据实际情况添加规则来防御，效果还不错。