最节省成本抵御网络攻击（ddos、cc 等）的手段是？

最省钱的就是服务停了，ddos 就是让你花钱的

@perfectlife 老哥给个招，拔网线的方法用不了几次🙃

一般拔网线最省成本，除非拔网线带来的损失大于保证服务正常的成本。

最近才被追着攻击了几天，真的很讨厌，我对这方面的防护也不懂，最近用了下腾讯云 7 天的免费 web 防火墙，但是正式的用不起，太贵了。

@balabalaguguji 国内服务商的 cdn 不敢碰，之前看有 v 友被攻击一下子欠了几 w

你要是这么问我出 ddos 三大法宝：流量清洗 拔网线 拔电源

拔网线

用开源的 waf 自己挡一道
https://github.com/unixhot/waf

ddos 用 waf 是挡不住的，最贱的办法就是套一个 cdn

如果支持换 ip 就换 ip ，不行就换机器，准备好镜像能随时部署新机器就行。如果有多台机器就用 DNS 做负载均衡。

ddos 用 waf 是挡不住的，最简单的办法就是套一个 cdn

阿里云有免费的 5G 额度 ddos 防护超出了才计费，对小公司而言是不错的福利

ddos 要是好防，它就不姓 D 了

openai 都被 d 过。。。挡不住的，只能套 cdn

要到国内快的话买个 cera 杜甫，就是太贵了

cloudflare 又不是没有国内公司，你找销售问下价格？

@Greatshu 国内好像是跟百度合作，也不便宜

@manami 国内是和京东合作的，和百度分手了

我最近也被 D 的很头疼，但我开的是游戏服务器，只有 UDP 流量。最近也在尝试屏蔽海外 IP 。据闻发动 DDOS 攻击使用海外流量的费用远远小于使用国内 IP 。屏蔽海外 IP ，至少能提高一下攻击者的单次攻击成本吧。

防攻击真的心累，尤其是你们经营网站，需要考虑可用性的

我自己的个人项目（还在开发中），目前想好了一个多层多级的防刷策略，在我之前的帖子里有提及部分方法，实际上没什么技术含量，更多是创意

OP 我建议至少制定一个最终的底线，被攻击到一定程度就直接暂停服务止损

我自己这边其中一个监控准备是单纯的调用一次 API 就记录进一次数据库，同时判断是否超量
没正式写过项目，更别提上线项目，不知道这是不是数据库正确用法，感觉好原始，哈哈

另外我目前还打算不上 CDN ，还没测光靠对象存储访问速度行不行，但看别人对象存储被刷，损失都是 1K-1W ，除了有篇知乎文章说对象存储被刷想去暂停，但欠费阿里云不给操作，于是只能交钱，刚交完又被刷，只能再交，然后被刷数 w
而 CDN 这玩意应该是能刷到倾家荡产的

对抗 ddos 最好的方案应该是分布式服务，去中心化就不怕 d 了

一个新思路，开发客户端 App 。客户端可以用非标准的端口连接真正的业务。
比如在 3306 端口搭建 HTTPS 服务，攻击者都以为这是 SQL 端口但其实是前端。22 端口搭建 MySQL 同样道理。
而关键的就是普通的浏览器默认是不允许链接这些端口的，比如浏览器会默认 21 就是 FTP ，22 就是 SSH ，53 就是 DNS 。
所以你需要专门做一个客户端强制用 22 或者 53 端口作为 HTTPS 来进行连接。

这是其实是很多 黄 站 会用的方法。不是硬抗而是躲避，端口都是反直觉的，不会让你猜到这是什么服务。所有非客户端的访问都是直接 ban 。

ddos 你怎么知道这个不是云厂商自导自演的行为呢？

凉拌，看保服务还是保钱包了，现在各家 cdn 的异常停止和通知至少都有 5 分钟以上延迟，黄花菜都凉了，我用着的 edgeone 个人版也没承诺能防护多少，最低成本就裸服务器扛吧，部署上 WAF ，找找高防算法用，至少服务器处理不过来的时候就死掉了，给你拔网线的时间，用 cdn 的话，把大陆外的 ip 都 ban 了，qps 设置好，国内攻击还是有点成本的

硬抗

隐藏服务，docker 部署，限制单个服务 cc 请求处理资源

要求登录，隔离拆分部署，不同用户服务器资源相互独立

关机

小公司一定要用资费封顶，超出断服务进黑洞那种的。
最难受的就是大公司，不能中断服务的那种。
因为流量刷起来，你的资费很容易就炸了。

换 IP ，阿里云有弹性 IP ，5M 带宽的一个 IP 一天也就 4 元钱，打死一个再换一个。从买 IP 到绑定网卡，再到域名解析到新的 ip ，一系列操作都提供 API

最好的办法就是 CDN ，然后直接挂工单找客服，去申请关闭欠费保护期即可，我用的七牛云就是这样关的

一般的站也没有搞的，要是遇到专门有人搞的，没钱就没办法，waf 啥的只能防防手贱的，cdn 之类的增值服务都需要花钱的，我们之前 cdn 没做监控一晚上被烧了几个 w ，后面天天流量攻击，全是正常 ip 轰炸的，防火墙没有一点办法，只能花钱买流量扛，

@pengtdyd 是不是云平台故意的不清楚，我们前一阵阿里云 cdn 被攻击了，二话不说换了个平台，内部打折比阿里云便宜哈哈

@SculptureSand 要上 cdn 的话把监控加好，阿里云可以设置带宽封顶，到顶了指定停止服务

买个小 IDC 的高防吧，一般就两三千一个月
对比阿里云一个月最低 1.8w 已经很便宜了

@Features 一个月 6 万，1.8w 是两三次，根本不够用。

多个 ip ，多个域名，分别对外提供完全相同的服务，这样即使被打，也需要对方有足够多的资源去调动

不知道你们的规模，我提个我自己在用的：

- 只用微信生态提供服务，放弃 Web 、原生，用 https://developers.weixin.qq.com/miniprogram/dev/wxcloudrun/src/basic/overview.html#%E4%B8%89%E3%80%81%E4%BC%98%E5%8A%BF-%E7%89%B9%E7%82%B9
- 抗 D ，你 D 微信去吧
- cc 成本高，只要腾讯云不出漏洞，无效流量都被清洗了，落到你后端的请求都对应真实的微信号，报警了溯源成功的可能性也更高（仅是个人感觉，至少比海量肉鸡 IP 好溯源吧？）
- 支持设定 callcontainer 的扩容上下限，相当于设定了实例消费上限
- 存储等按量付费的自己想办法，自己模拟下怎么才能被攻击时不被刷爆
- 真拔线了也不怕和用户失联，可以上线个公告

成本有限就依托大公司，海外有赛博菩萨 Cloudflare ，国内没有平替，那就牺牲一点开发体验选微信吧

云厂商的 slb 都有免费 ddos 流量额度，比如阿里云是 5G ，域名解析到多个 slb 上，每次攻击一般只攻击其中一个 IP ，所以剩下的还能正常提供服务。被攻击后，立刻停止对应 slb 的解析或者更换一个新 slb 。 影响会降低很多，这一切可以搞成自动的。这是我想到最低成本的方案。

@0o0O0o0O0o #37 可以说我低成本防护的核心思路就在入口，只要你还保留着域名的概念，就不要想着低成本解决了

有什么低成本难溯源的攻击思路也可以指出来讨论一下

@wheat0r hhh

纯静态资源的网站很容易防护

域名解析指向 gov 网站. 不出一天对面进去了 你就可以继续开启服务器了

大部分的攻击都是拉取域名无差别攻击，国内本身肉机少，通过设置一些特定的 header 鉴权就能档大半，当然如果专门来攻击你，通过浏览器复制你的请求攻击就没办法。这样防不住就弄一个发放令牌的服务，前端每次先调用拿到令牌，带着令牌请求，走 cdn 可以在 cdn 厂商配置远程鉴权，这样再防不住，大概率就是针对你攻击的，还是报警吧。
最后打个我司的广告，虽然不知名云服务公司，但是 cdn 服务自带高防，被攻击后台有人处理，攻击流量可以找客服 battle 掉，有需要可以联系

直接淘宝买高防，我好几年了基本没被打死，最大流量 200G 都抗住了，价格也就几百

@ugpu

cname 过去会把源站的 host 传到 gov 的服务器上

有人真这么干过，然后因为"就是你把鬼子引了过来"，付费喝茶

@hubaq 靠谱吗，小作坊不放心，有些权限太多

@manami 自己做好防护措施，没啥大问题

@balabalaguguji 看见前辈的遭遇我的工具站流量起来了我打算套 CF 。。。。。

@kuituosi 5G 那个太小了,你去谷歌随便找个白嫖 ddos 平台可能都打穿了,然后就进黑洞了,都别说人家花钱打你了

@hubaq #44 几百是每个月吗？

@QinYu0226 没有硬防这些手段也不顶用吧。
真是要 D 你，谁还管你浏览器不浏览器端口不端口的，直接大水漫灌淹死为止

CC 好抗，写好过滤规则就行。DDOS 除了砸钱是没有办法的

@default 699 200G

需要自己托管的年代机房网管会毫不废话的拔你网线

除非全部静态化，然后上 cdn 。 买防火墙，对于个人太贵了。

@objectgiga 牛逼吹的大，不花钱上哪儿白嫖 5G 的流量？

@hubaq 小项目还真是用不起。不知道三丰云的怎么样，120G 防护 每个月 229

六型 成都高防 16 核 16G 赠送 200G
50Mbps 120G （更高防护联系客服） ￥ 15 元/天 ￥ 229 元/月