一个笨拙的抵挡 DDoS 的方法

由于 bug 2 这个方法无效

DDoS 攻击者无法伪造 IP
但是 DDoS 可以堵死母鸡和 IDC 路由

除了硬抗，或者拉近黑名单 没其他办法~

没用，HTTP 的 TCP timeout 就几十秒

独立服务器勉强能采取一点措施。VPS 和防 DDOS 基本沾不上边。

你的网站是一间屋子，而大规模 DDOS，是直接堵门。你在屋里任何防御措施都没用。
防范 DDOS，是机房的事。你防的，其实是小规模 CC 攻击。

分清 CC 攻击和 DDoS
DDoS 是直接发包的, 根本不会达到应用层
了解一下常用的 dns 反射放大攻击
http://www.freebuf.com/articles/network/76021.html

@所有人 谢谢大家，我在往上搜了不少文章，还是各位说得明白。
但我看到网上有文章里说 DDoS 时用封 IP 来应对，例如这儿: https://www.cnblogs.com/xuepython/p/6780789.html
是为什么呢？

@CESAFE 感谢回复！“拉近黑名单”，是什么黑名单呢？我看大家都说封 IP 无效啊。

ddos 打带宽流量，cc 打 cpu 内存资源

@t6attack 补充一下，机房就相当于你家物业安保，对方人少你自己能对付，人多了的就要找安保帮忙。

DDoS 能挡？
笑……

你在一个孤岛，只有一条公路可以跟外面连通，ddos 就是洪水把路摧毁了，进也进不去出也出不来。cc 就是派好多车过来，塞车了。

@kongque2016 #7 那个作者可能弄混了概念，把 cc 当作 ddos 了。

按我的理解， 一般 ddos 是通过放大攻击搞的，例如：攻击者控制 100 台肉鸡，肉鸡向互联网上的 1w 台 dns 服务器发出 dns 请求，但是源地址伪装成被攻击者 ip。dns 服务器就会向着 被攻击者发出 dns 响应。通过专门构建的 dns 请求，可以做肉鸡发出很小的包，但是 dns 服务器回应一个巨大的包来放大攻击流量，大量的流量直接占满服务器宽带来做到拒绝服务攻击。
一些其他服务也能做到这种放大。

被攻击的主要目的是宽带，比如服务器只有 100M 的宽带，但是 ddos 的流量达到了 1g，直接宽带满了，服务器再防御也没用。
换算到现实类似于到工厂的路只能跑 100 辆车，但是攻击者做了 1w 辆车去，道路直接堵死，工厂内怎么优化也没用。这时候只能联系公路局扩路(升级宽带)或者联系交警提前在主干道、高速公路设卡，发现目的地是工厂的就直接检查是否是正常请求，不是直接在主干道拦截(中国电信云堤))。


cc 是发出少量大资源消耗的请求来攻击，例如搜索等请求有高数据库 cpu 占用，那么专门发出少量的搜索请求就足够让数据库卡顿。

@chinvo #2
啥？不能伪造 IP ？

@gamexg 谢谢，说得好明白。不过我又有一个问题，这样一来，我的 VPS 托管厂商难道检测不到？它攻击我的 VPS，必然要经过 VPS 厂商的物理网卡进来，对 VPS 所在的整个物理主机都有冲击吧？ VPS 厂商为了不影响其它 VPS，会不会帮我做点儿什么？

@just1 #12

CC 其实是在收费站缴通行费五万时候 你给的全是 1 分钱硬币 让窗口数……

ddos 是什么了解一下？不是 cc。。ddos 意思就是你服务器只有 100m 带宽，我就每秒给你发大于 100m 的数据，根本不需要到达应用层，直接网络就堵死了。

你说的是 cc

@realpg 我写过网卡驱动，发送 IP 包时，自己的 IP 字段可以任意填，不过你填错了，应答包回不来。好像是这样。

@kongque2016 会做点什么，例如停机外加联系运营商将 ip 加到黑洞，骨干网所有路由器直接丢弃目的地是 vps 的数据。

@kongque2016 当然有这样的服务，黑洞清洗了解一下，高防 ip 了解一下价格。。。流量是你带来的，所以要么你交钱，要么流量到达一定程度后关停你的服务器