有什么小成本的方案来阻止 ddos

屏蔽 ip 也没用，ddos 才不管你响不响应呢

用 cloudflare

DDoS 流量已经到入口 屏蔽只防 CC 只能 null IP

CF

DDOS ，流量即正义。没有足够带宽，你任何防护设备都没有用…… 直接跑满。

国内有 DDOS 源，肉鸡猖獗的年代，动辄 100 多个 G 的流量打过来，防火墙自己都死机。

能通过屏蔽 IP 来防御的是 CC 攻击，防不了 DDOS

防御 DDOS 只能加带宽，加硬件，硬扛，没有自己的机房就只能买高防

关机

没有办法的，人家用很少的机器，就能把你带宽打满。

@kizunai #7 IP 会进黑洞的，和开不开机无关，除非机房的路由器关了。但是不可能关呀

CDN 就行了，纯接口的话一个月十几块钱

拔线跑路，换地头

拔电源插头🔌

德国鸡的高防很便宜，但是线路比较差

关停等结束，这应该成本最低了吧。毕竟营收好的，权衡完后就是花钱解决，降低损失。

DDOS 的原理不是打死你的机器，而是占满你的上游带宽，让机房甚至 IDC 直接从离你很远的地方就阻断到你 IP 的流量，以免影响其他人。

现在你知道为什么高防 IP 贵了吧？因为需要上游给你开白名单。

poweroff

想阻止 ddos 目前只有三个靠谱的方式
比财力，只要你口子够大，或者能调整足够多的路由，就没事。
报警，八成没下文
从底层修改现在的网络软硬件架构，从底层协议设计初期就考虑 ddos 进去，比如末端网络设备可以自动识别拦截攻击流量

国内节点屏蔽国外 IP ，CF 白名单。
国外全部解析 CF

关机保平安

国内主机？
阿里云直接上 WAF ，包月的那种，封 ip 、封访问次数，能封的非常多，还蛮好用的，几千块钱 /月
tx 云应该也有类似产品

这是有流量的烦恼啊，不像我，天天躲 cf 后面瑟瑟发抖，生怕哪天我的 1IP 博客被 ddcc 干死了

@jousca 现在为什么没有国内的攻击源了呢？

@as9567585 因为现在可以直接线下物理阻止攻击....

花钱保平安, 没有小成本方案

ddos 攻击属于杀敌一千自损八百
攻击者也需要付出带宽成本

@LykorisR 啊啊 😂，请教下，物理攻击说的是直接拔网线吗？

有低成本的方案，得看什么服务，Web 还是 App ，不同场景防御方式不同。

@IvanLi127 ddos 就是这个目的啊，有些服务宕机一会影响很大的。。你自废武功反而不用别人 d 了

可以试试在服务器上装个带 IPS/DOS 防护的杀毒软件 /防火墙（前提是 Windows Server ），会自动根据传入连接行为阻断可能的攻击连接。

@lhx2008 CDN 遇到 DDOS 的时候账单会爆表吧，或者会被 cdn 厂商直接回源

@hez2010 你根本不懂 ddos,流量都到服务器了还在做无谓的挣扎

防 DDoS 目前只能上昂贵的高防服务器。

没有

@hez2010 ddos 打的是你的带宽，就算你阻止了连接，流量还是会到你的网关，正常用户的流量根本进不来

ddos 解决方案应该由电信运营商提供支持更合适，可惜没那能力，也没那想法

@aoling @newmlp 但至少不会导致应用负载爆满了。另外阻止了连接后流量是进不来的，因为是直接屏蔽源 IP 地址的，相当于一个自动添加规则的 IP 过滤器。

而且，入站流量一般都是免费的吧，只有出站才收费。

@hez2010 那是，但是你带宽被占满了，正常用户的流量也进不来啊，就像开饭店一样，你可以阻止恶意流量进来吃饭，但是你门口的路已经被恶意流量占完了，你阻不阻止人家进来吃饭有啥意义呢，不如关门歇业还能省点电费

据说有的运营商可以用 BGP flowspec 在入口把流量丢掉

@hez2010 #36 ddos 根本不需要和你建立连接，正常流量压根进不来啊；就算应用负载没压力，你也提供不了服务

套个 CDN ，试情况 CDN 上配限流、黑白名单之类的，交给 CDN 厂商。

@hez2010 #36 防火墙也是要消耗系统资源的好吧，量大了 光防火墙就能把你机器拖垮

上个月刚处理一波 CC 攻击，就是屏蔽了所有境外访问，大概屏蔽了两周多就好了。哈哈
攻击的 IP 多的可怕，防火墙的黑名单都放不下了。

说 CDN 的都是大佬，最好查一下 DDOS 啥

@as9567585 报警.......

停服关机

CF

服务端跑的什么业务,web 还是端的服务器？
web 的话可以尝试用云 WAF 来前端过滤下 CC 或者在攻击者未获知你服务器 IP 的情况不被 DDOS 。
如果是后者的话，只能搬高防机房去了，如果财力大可以加购运营商的近源清洗服务(注意是加购,单纯依托这个服务还是会受限于服务器本身的防御能力,比如 1G 下去就黑洞了那种救不了的)。

在国外搞一个 AS 广播你的 IP
然后直接丢弃掉包裹
这样国外 DDoS 的流量不可能进到国内服务器

CDN=>BAN 境外

问题来了，怎么发起 DDoS 攻击？代码写死循环？

国外流量路由到黑洞里

摆烂零成本

国内用阿里腾讯的全站加速。
ddos 让他们来扛
再配合重定向之类的规则临时性断掉一些被攻击页面访问

你需要搞一个大新闻出来

四.省钱别买服务器

DDOS 本来就是经济放大型进攻方式，怎么可能会有小成本防范方式。

DNS 接入 cloudflare 解析

@as9567585 现在是串通好了，不用攻击，打个电话给对家，对方 IDC 直接给你 IP 拉黑，问就是你被攻击了，加钱解封，其实啥攻击都没有…… 钱到手自动恢复，大家五五分账。

ddos 靠软防火墙是不行的，楼主稍微去了解一下原理，就会明白这个东西没那么容易防得住的。价格贵总是有他的原因的。

如果是 Web 服务，国内可以用类似加速乐这类服务，藏好源 IP ，同时也不要落下 DNS 的 DDoS 防御

@as9567585 这多少年的老话题了
国内没有 CF 的原因就不说了：审查权直接交给代理机了，国内这环境谁敢做？

高防 DDOS 其实挺好的，非要纠结成本的话……

其实有一个非常非常流氓的小成本解决方案，不知道有没有人用……
就是全路由黑洞，只留各大云提供商的 IP 段路由，想访问？自己实名买云服务器小机当跳板去。
连监管带访问控制云服务商都替你做好了
相当于强迫 DDOS 者花正价买流量。
就没人 D 了

缺点也显而易见，而且万一风行起来还有其他的不良影响，下次再说

@as9567585 当然现在云服务商的小机好多没有内网 IP 了，估计也是防人这么用跳板防 D ，自己的高防就卖不出去了，找找看，可能有些还是有的

@as9567585 大家都是懂的，给不懂的解释下：
相当于买个云服务集团号，有人要访问，交钱，给你在名下开小机跳板，访问是内网 IP 访问的，不暴露 IP
你要公网 D ，只能把你自己的那台机器 D 死......
理解了么
我记得还真有人这么干过

@hoopan 拿到的 ip 应该可以提交到某些组织吧? 类似邮件的 Black list? 这样下次这些 Ip 肉鸡上网都不能上.

Fail2ban 以及 Crowdsec 。都是很好的防 DDoS 工具。
Fail2ban 主要是监控你 nginx/httpd/caddy 之类的 log ，同 ip 出现太多失败登陆就改 iptables 把它封了。
Crowdsec 是 19 年新出来的产物。（前两个小时 A 轮融资成功来着）主要是所有装 crowdsec 的机器一起建立一个 ip filter 。

个人建议用 crowdsec 吧。毕竟有些客户忘记密码多输几次也不是没有可能😂

@qwerzl 你說的是 brute-force 不是 DDoS 好吧

@qwerzl 这两个都是跟防 DDos 没关系的工具。

cloudflare 成本相对小一点防 ddos ，但是对国内访问有时不友好

@yankebupt "想访问？自己实名买云服务器小机当跳板去。" 😂 这是开发的什么服务，还要用户自己买跳板。。 一般的互联网不会这样啊

套 cdn 啊，ddos 基本上无限防，只不过不好防 cc

拔网线 物理屏蔽

一直很好奇，DDoS 利用的是 HTTP 的 Features 还是 Bug 呢？

两个主要思路

直接拉闸或者价钱（怎么没打完就发出去了

@as9567585 阿里云之前有一小段时间真是这样的，那时有统一阿里内网 IP ，不管谁买的云服务器互相之间可以内网互访，然后用户可以买一台阿里小机，内网 IP 访问一堆买不起高防 DDOS 所以不公开公网 IP 的服务，反正不怕被 D 。

后来就把这个功能取消了。全是专网 IP 不互通了

你可以翻翻相关的帖子，应该还在。

@Features 不是 HTTP ，应该说是网络层。这算一种设计缺陷吧。

@xzysaber 传输层。

@xzysaber 打错了，我想说的是 TCP/IP

@yankebupt #60 ”强迫 DDOS 者花正价买流量“？ 1. 不管国内外云厂商的流量都是后付费的 2. 阿里云随便一台 ECS 下行带宽都是 G 口 3. 阿里 /腾讯云找代理买企业实名号只要几十块钱甚至免费送，有的小机场老板每个月欠费几十万，封了就换

@edis0n0
1.对，后付费，但是不实名没交够多少钱的野鸡账号全是预付费
2.对，是 G 口，但是是实名的，D 一次永远别想用了
3.对，是几十块，但要你自己充流量进去，是后付费但你要缴保证金先升级账户资格，而且一旦被封身份证就废了，云厂商会帮着你封，有人卖给机场，因为有钱赚，没人卖给 D 人的，而且是 D 内网这种全程证据链直达公安没技术含量的。

@edis0n0 被外网 D 了，没处说理去。被内网 D 了，直接客服一封邮件 D 源断网自己发手机短信解封去。D 人？ D 你自己呢吧。

DDOS 本质上是成本的对抗。这种攻击方式经久不衰，就是因为防御成本远高于攻击成本。

想在被攻击时不影响业务，就老老实实上流量清洗。

还有个办法是套一层 CDN ，隐藏自己真实的 IP 。不过聊胜于无吧，被攻击的时候会消耗掉你大量的 cdn 流量，银子哗哗往外流。

对于成规模的企业，对抗 DDOS 攻击的办法也只能是做好预案，在遭受攻击的时候，按照预案接入到指定运营商的流量清洗。

DDOS 基本上无解。只能花钱去对抗。

@onice 请教下，这种流量清洗一般说的是对 cc 攻击的吗？ 像 syn flood 这种可以清洗出来吗 ？

@as9567585 CC 攻击是攻击者频繁访问网站某个对服务器资源消耗比较大的页面，让服务器超负荷运转，浪费服务器的系统资源，达到网站未响应的目的。CC 攻击不堵塞服务器带宽，也不是分布式的，所以一般使用 WAF （网站应用防火墙）就能防护，比如阿里云的云盾就有该功能，当某个 IP 短时间内大量请求网站，IP 就会被封禁。比如像安全狗这类防护软件也能很好的保护网站遭受 CC 攻击。

syn flood 的目的是消耗目标服务器的带宽资源，不像 CC 攻击那样，消耗的是服务器的系统资源。所以，防御 synflood 的方法就是需要一台服务器做中转，该服务器的带宽要大于攻击流量。在中转流量的时候，做一次过滤，筛选出真正的访客，并将流量重定向到网站服务器上。

举个例子：攻击者的肉鸡集群是 A ，攻击的目标网站是 B 。假定攻击流量为 50G ，，但目标网站带宽却只有 10G 。当 A 向 B 发起请求后，A 的流量 50G ，大于 B 的承受最高流量 10G 。B 的带宽被占满，，此时 B 原有的正常用户就 i 无法访问 B 了。A 向 B 发起多长时间的请求，B 的业务就要中断多长时间。

如果有一台主机 C ，做中转。这样流量的路径都成为了：A 访问的是 C ，C 再把流量转给 B 。当主机 C 的带宽足够大，能够抗下来 A 的所有流量，C 只需要从流量中甄别出非攻击流量，，只把合法的流量转给 B 。这样就能防御了。syn flood 只是其中 A 向 B 发起攻击的请求方式。当 A 的带宽足够大，A 采用任何攻击请求方式都能消耗掉 B 的带宽。当 C 的带宽足够大，A 用任何攻击请求方式都无法消耗掉 C 的带宽。流量清洗的原理就是这样，万变不离其中。其中的重点是带宽之间的对抗。

所有，流量清洗可以防止所有类型的 DDOS 攻击。前提是流量清洗服务的带宽大于攻击流量。既然 C 能够做中转，并甄别出合法流量，，它自然也能获知某个 IP 的请求频率，，所以流量清洗也能防御 CC 攻击。

@onice 感谢详解