如果遇到 DDOS,有没有一些低成本的解决方案呢?有些服务并不能用 CDN,因为是长连接

怂字诀 null IP

@westoy 这..用户无法正常了呀.最主要还是如何恢复业务

低成本的只有一个，就是拔网线

转发代理，用户分级，遇故障切高防。很简单。

这种小儿科攻击都搞不定的公司，估计也做不起来。

低成本好像还真没有
不同类型的攻击有不同的应对方案

低成本：关机

@djoiwhud 50g/s 轮训打所有的 IP.进黑洞.

纯粹的 DDOS 感觉还是有办法的，网关可以筛选真假用户，防一层，有验证后再转发到逻辑处理服务器上。
多封 IP，把几十万嫌疑 IP 都列入黑名单，等到 24 小时候再逐步解冻。

emm.. 机房不给从网关过滤任何 IP,说要钱买昂贵的防火墙就可以.
如果不买防火墙,那流量过来就直接死了.然后直接进黑洞
试过那些 所谓的 高防机房,连通率不够满意.
很多用户直接就连不上.可能是防火墙误杀.
@3dwelcome

用户分级这四个字不理解？按用户风险分级，不同风险的用户分配到不同级别的代理池。请告诉我，他怎么拿到所有级别用户的代理地址。

看起来你是这公司的负责人，跑来钓鱼问方案的。。我表示很无语，这种问题是很基本的运维策略。贵公司难道一个合格的工程师都没有？

业务价值比流量费用更高再来考虑怎么抗，不然成本最低的办法就是拔网线，

@djoiwhud 你好,我是负责人啊.只是讨论讨论,绝大多数的 ddos 解决方案我都知道.

还有,用户分级我能理解你什么意思,请你瞄一眼我们的产品你也不会说出这样的话.
我们 90%的用户都是非注册用户,而且软件的要求就是 双击运行,立刻连接服务器,获取 ID,密码.
不需要等用户进行登录之后,才连接服务器.DDOS 的是 来自好几个不同的国家的 IP.
就算按照用户风险分级,也是要登陆之后吧??
现在我们被 DDOS 的就是用户登陆的服务器.
麻烦不管看什么帖子都别直接就呛好吗?

我也表示很无语

直接屏蔽国外 ip 就行了，dns 上搞下就行了

做不到，除了加钱。在某些地域加钱也做不到防 d

特别是国外地域，你加钱都不一定有服务商给你提供对应的服务。

其实做好预案切高防就完了，自己没必要研究这个。

至于说误伤部分用户，请把这种选择叫《服务降级》，总比都不能用强。

其实一般的抗 D 就几种方案,
1.Web 类的,上 cdn
2.多弄几个类似 阿里的 SLB 转发(伪群集)
3.攻击 IP 源地区的访客解析到某个特定的 IP
4.硬防
5.被 D 域名自动切高防服务器,然后会误伤用户.
6.让机房直接屏蔽攻击地区的 IP(但是现在的服务商都不愿意这么做,会劝你买他们家硬防)
---------------------------------------------------------
但是以上的方案,感觉都不是特别的完美.所以才发此贴看看有没有哪个大佬有奇思妙想.

再补充一个常见的,
机房屏蔽 udp 包.

@PUBG98k
首先，不是注册用户也可以做分级。我完全不需要看你的产品，何况你又没给我钱，我没任何理由看你的产品。ddos 绝大多数都是同业攻击和勒索求财。这样的事都是外包给别人搞的。有观察者的角色在抓包分析流量的走向和连接的服务器地址。你不能按 ip 或者设备 id 或者是浏览器签名来固定分配到同一个 slb 或者高防节点么？显然可以。

也许，你查了一点点 ddos 的皮毛内容。但是你不清楚 ddos 的行业内幕。你的这个需求真的很简单。

@djoiwhud 10 年前我就对 DDOS 非常熟悉了好吗?不知道是你皮毛还是我皮毛
有必要杠吗?
我用了近 10 个不同地区的节点做析转发.全死了.有用吗?
还根据不同的用户 IP,或者设备分配不同的 SLB.你能弄几个?你能藏几个别人分析不出来哦.
随便找几个不同的电脑或者地区的电脑抓下包就全出来了.有意义吗?
要不,200 万用户,每个用户分配一个节点最好了.买 200 万个节点如何?这样绝对死不了.
请你看好标题,再来杠行吗?

10 年前我就参与开发过 IIS CC 防护软件,Windows 的防 DDOS 防火墙软件,类似 傲盾防火墙
你真的是喜欢杠.显得自己很 皮毛好吧

我发帖的目的是 看看这里大佬那么多,有没有一些想不到的,奇淫技巧,而不是传统的砸钱.
@djoiwhud

用户量 200 万很大规模的服务了，50gps 的 ddos 流量也很大，楼上说很简单的也不知道是什么大佬，放个自己产品给大家欣赏欣赏吧

其实好好讨论问题是可以的 ,但是一上来,什么也不看就直接喷 问这种问题的公司肯定做不起来.


@LeeReamond
实际用户近 800w,实时在线近 200w

要是 DDoS 能低成本解决，那人家还 d 你干啥。
不就是因为低成本难解决所以才用这种办法打你么？

todesk 这么好像还免费的工具，还被 DDoS 有些人真是畜生

@loukky 越是这样的产品，越容易被一些传统垄断厂商盯上，毕竟抢了市场，一个用户就是一笔钱啊

我怀疑这个攻击和在这个节点打广告的那位有关系

@PUBG98k 再被 ddos 个一周两周看你的用户还剩多少。
要解决就找团队改架构去吧。

能被 ddos 的产品, 应该是还不错的产品了吧, 这样的话还考虑低成本?

没有,只能硬抗.

既然你说自己是在 ddos 领域很专业的，那你发帖的目的何在，炫耀自己的专业性？

部分用户服务降级不是很常见的折中么。例如把用户分 10 类，还可以按接口访问规律细化出疑似观察哨，观察哨一般不会提交真实的数据，就算不做细分处理攻击观察者所影响的用户群体也只是 1/10 。

这需要你每个人分一个代理节点不？我只看到我说的很常见的处理策略，你自己在杠。

每个防御方法，对方都有低成本进攻的应对措施

请求时鉴权,请求后拉黑
todesk 貌似都做不到,那只能怂或者硬刚了

看了下 lz 的方案，意思是想实现在不堆资源这种“传统模式”下实现 DDos 防御，以及自己对 DDos 防御的方案有深刻的了解。

我建议是从攻击者的角度去思考如何有效率的跨越上述方案。攻击之前先做功课，探源站 IP，探盾，博弈，看对方的高防是买个乞丐版，还是保底，还是氪金拉满。如果保底，保底防御带宽多少，只要压过了，对方就会崩，不要过量，以此类推。

思考攻击者的目的是什么，收了钱来给别人消灾，还是有发送邮件勒索，多少都是有目的性的。

自身经验，游戏行业被打 10 年，对原理没什么深刻理解也不是很想去深究，但一年至少被揍 2 次，有时候是野路子吃饱没事干，就是想搞你，大部分情况是一个什么 ACCN 的黑客组织，每年打一下，年底还要威胁续保护费，不然明年继续打。

我厂人少，也不是很想花时间在和黑客博弈上面，采取的思路也比较简单——无论如何都不能让业务受到影响，不谈判：
1. 过滤掉 CDN，其他所有业务必然是套着盾才能上线，真实 IP 不能暴露。
2. CNAME 解析，可以直接看到返回域名是类似 aliyunddos 什么的，明确告知攻击尝试者，我们有做加固，想攻击的话，需要评估攻击成本和收益。
3. 自己浅显的理解是，应对分布式攻击需要有分布式防御方案，阿里的有是有，就是太贵了，所以现在还是用传统高防。

没啥技术含量，但好用，玩家不掉线，业务不中断，价格小贵，但比起损失来说，不值一提。

1.峰值 50g，不算大。用 aws cn 的 basic shield 做代理免费抗一下 3 层 /4 层。
2.阿里云全站加速，有 IP 加速服务，不知道是否适合楼主的业务。
3. 长远一点，客户端埋一个 websocket 代理，紧急情况降级到 cdn 走 websocket 。

ddos 是很深的坑，各种问题，不同应对策略，最简单的，买阿里腾讯的高防 ip，基本收费都不便宜，按照用量算。好像几百 G 的都是没问题的，就是费用好像也惊人。

自己做过一个服务器，最简单的 iptable 连接数过多的直接 ban，最后触发了 iptable 的上线，6w 多条吧。。。后来换了策略，好像是 ip 掩码往大的调了，让条目数变少。后来感觉防御住了，但是对方小包峰值 28wpps，机房不干了，直接给我下线了。

严重的攻击感觉还是要靠专业的团队去处理一部分，当然自己设计的时候也尽量避免问题。综合性问题很难有简单的处理方案。

其实,也是想到了,花钱上高防等切换策略.
但是确实觉得,有点小贵~因为一年到头也 D 不了几次.
但是长期付费保护,太亏

@sggggy 大佬你好，“1. 过滤掉 CDN，其他所有业务必然是套着盾才能上线，真实 IP 不能暴露。”这句话应该怎么理解，CND 不是本身就是对真实 IP 的保护么

@LeeReamond 不是大佬，就是被打的多了，委屈受多了，皮厚起来。

动态 CDN 或者全站加速都可以隐藏真实 IP 。

静态 CDN 一般是不会有人攻击的，除非遇到头铁的真的要打；动态 CDN 或全站加速这些产品，默认不抗 D，要氪金才能开启抗 D 功能，在没开启的情况下被 D 了，会被云厂商黑洞掉。

如果业务都在云上的话，一般我建议使用 DDos 和 CDN 的联动功能，没被攻击时不穿马甲，暴露的是 CDN 的 IP，遭受攻击了，自动切换到 DDos 上。《——实战情况是，我厂目前比较怂，基本都套着马甲不脱。