@CzyAer
@konakona
1. 100Gbps / 10Mpps 明显 UDP 类型的大包攻击，其实针对这种攻击，运营商级别防护起来很轻松，有带宽和设备就 OK ，有时候甚至不需要专业的流量清洗设备介入即可解决这类型的攻击(Cisco 和 Huawei 的高端 SW 都有报文长度和大小限制来丢弃这类攻击报文)

2. 超过 100Gbps 的攻击在近目的地清洗都是耍流氓

3. iptables 还是在系统 Kernel 级别，一个报文要几次 Copy 都不知道，这效率不要被 iptables 拖死已经很好了，有种东西叫做 User Space I/O

4. CDN 这类防护缺点很多，尤其是国内的 CDN 防护，弱点太多，从 DNS 到 Bypass CDN 都可以轻松的干掉被保护的源

5. 建议楼主使用专业的 MssP 级别的安全服务提供商