nginx 防范 ddos 最佳实践有哪些？

Nginx 能防得住 DDoS ？

@UnisandK 如果防不住还有其他推荐吗？目前我是用 nginx 放在前面做反向代理

@markocen 软件对 DDoS 基本都没啥效果吧，防的话要么藏好，要么加钱。。

最佳解决办法不应该是加硬防吗

DDOS 理论上讲无法防止，解决办法只有一个：让自己能够承担超大流量

你想表达的是 CC 吧 ?

你 100m 的网络改改 nginx 参数就能变成 1g 了？

@UnisandK @Isido @wekw @chinafeng

我在参考这篇文章设置 nginx

https://www.nginx.com/blog/mitigating-ddos-attacks-with-nginx-and-nginx-plus/

即使不能完全防住，也有些相对有效的防范措施吧？我就想问问在应用层除了文中提到的还有哪些？

很多人认为 DDoS 是进门的人太多。其实不是

DDoS 是敲门铃的人多。nginx 只能控制进门人数，并不能控制敲门的人。

真 DDOS 关机都防不住

ddos 是真实流量 , 普通人遇到真没啥办法..

DDOS 无法防御难度不是常识。攻击者的带宽是分布式的，你的带宽是专有的，从技术层面怎么玩都是死。

上 CDN，然后藏好真实的机器。

CC 还有可能软防，但也不是 nginx 来防，最多拿来限制连接数。DDOS 的话，必须硬防

再怎么限制，DDOS 把带宽打满了也没办法啊。就像一堆人把家门口堵着，你 nginx 虽然可以检查身份不让他们进来，但是他们在门外会彻底把门口堵死了呀

DDoS 是堵死进你家门(NginX)的路(带宽)，你有门(NginX)有什么用呢，客人又进不来

@est #9 也可以理解为 DDOS 是车太多直接把你厂门口的公路给堵死了，给工厂增加更多接待员工，增加停车场、增加保安等等都没用，DDOS 堵塞的是公路，你没有权限去管理公路。

除非联系公路局加宽到厂子的公路（交钱升级宽带）或者联系交警全国骨干道设卡(电信云堤)，在车辆进入你厂公路前就拦截，不然没用。

花钱买平安

@gamexg 对。

nginx 要是能防 ddos，估计 web 服务器第一份额了妥妥的。