最节省成本抵御网络攻击（ddos、cc 等）的手段是？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 378 天前的主题，其中的信息可能已经有所发展或是发生改变。

准备在这几年把自己的一个网站迁回国内，现在用的 cloudflare cdn 对国内极其不友好，速度慢如蜗牛。但这也意味着要脱离 cloudflare ，没了 cloudflare 的保护，后续一堆网络恶意攻击会接踵而至。自己对网络攻防了解不深，最近调研了一些抵御手段，比如使用 fail2ban 、自建 cdn 等。可以确定的是，市面上的 cdn 太贵是用不起的。后续因为是要注册公司，合法经营，服务的对象主要是国内用户，或者可不可以完全屏蔽国外 ip 段，后续如果遭受攻击，攻击源头来自于国内，产生较大影响直接 bao jing 处理有没有用？网上可参考的太少了。

不知道在这方面有没有类似经验的 v 友，求给一些解答和建议，小成本创业需要考虑的实在太多了，网络攻击就是头疼的事

CDN

Cloudflare

攻击

后续

57 条回复 • 2024-01-05 10:55:31 +08:00

perfectlife

2024-01-03 19:11:04 +08:00 via Android

最省钱的就是服务停了，ddos 就是让你花钱的

manami

2024-01-03 19:14:41 +08:00 via Android

@perfectlife 老哥给个招，拔网线的方法用不了几次🙃

tomczhen

2024-01-03 19:15:26 +08:00 via Android

一般拔网线最省成本，除非拔网线带来的损失大于保证服务正常的成本。

balabalaguguji

2024-01-03 19:15:57 +08:00

最近才被追着攻击了几天，真的很讨厌，我对这方面的防护也不懂，最近用了下腾讯云 7 天的免费 web 防火墙，但是正式的用不起，太贵了。

manami

2024-01-03 19:16:52 +08:00 via Android

@balabalaguguji 国内服务商的 cdn 不敢碰，之前看有 v 友被攻击一下子欠了几 w

devilarchitect

2024-01-03 19:46:48 +08:00

你要是这么问我出 ddos 三大法宝：流量清洗拔网线拔电源

locoz

2024-01-03 19:47:05 +08:00 via Android

拔网线

edwinyzhang

2024-01-03 19:48:04 +08:00

用开源的 waf 自己挡一道
https://github.com/unixhot/waf

asuraa

2024-01-03 19:55:41 +08:00

ddos 用 waf 是挡不住的，最贱的办法就是套一个 cdn

Jackeriss

2024-01-03 19:58:18 +08:00

如果支持换 ip 就换 ip ，不行就换机器，准备好镜像能随时部署新机器就行。如果有多台机器就用 DNS 做负载均衡。

asuraa

2024-01-03 20:10:00 +08:00

ddos 用 waf 是挡不住的，最简单的办法就是套一个 cdn

kuituosi

2024-01-03 20:21:24 +08:00

阿里云有免费的 5G 额度 ddos 防护超出了才计费，对小公司而言是不错的福利

wheat0r

2024-01-03 20:43:45 +08:00

ddos 要是好防，它就不姓 D 了

proxytoworld

2024-01-03 20:45:31 +08:00

openai 都被 d 过。。。挡不住的，只能套 cdn

JensenQian

2024-01-03 20:49:33 +08:00 via Android

要到国内快的话买个 cera 杜甫，就是太贵了

Greatshu

2024-01-03 21:12:41 +08:00

cloudflare 又不是没有国内公司，你找销售问下价格？

manami

2024-01-03 21:20:39 +08:00 via Android

@Greatshu 国内好像是跟百度合作，也不便宜

Atomo

2024-01-04 00:21:15 +08:00

@manami 国内是和京东合作的，和百度分手了

jaTomn

2024-01-04 00:59:24 +08:00

我最近也被 D 的很头疼，但我开的是游戏服务器，只有 UDP 流量。最近也在尝试屏蔽海外 IP 。据闻发动 DDOS 攻击使用海外流量的费用远远小于使用国内 IP 。屏蔽海外 IP ，至少能提高一下攻击者的单次攻击成本吧。

SculptureSand

2024-01-04 01:03:56 +08:00 via Android

防攻击真的心累，尤其是你们经营网站，需要考虑可用性的

我自己的个人项目（还在开发中），目前想好了一个多层多级的防刷策略，在我之前的帖子里有提及部分方法，实际上没什么技术含量，更多是创意

OP 我建议至少制定一个最终的底线，被攻击到一定程度就直接暂停服务止损

我自己这边其中一个监控准备是单纯的调用一次 API 就记录进一次数据库，同时判断是否超量
没正式写过项目，更别提上线项目，不知道这是不是数据库正确用法，感觉好原始，哈哈

另外我目前还打算不上 CDN ，还没测光靠对象存储访问速度行不行，但看别人对象存储被刷，损失都是 1K-1W ，除了有篇知乎文章说对象存储被刷想去暂停，但欠费阿里云不给操作，于是只能交钱，刚交完又被刷，只能再交，然后被刷数 w
而 CDN 这玩意应该是能刷到倾家荡产的

XiLingHost

2024-01-04 01:18:02 +08:00

对抗 ddos 最好的方案应该是分布式服务，去中心化就不怕 d 了

QinYu0226

2024-01-04 05:58:33 +08:00

一个新思路，开发客户端 App 。客户端可以用非标准的端口连接真正的业务。
比如在 3306 端口搭建 HTTPS 服务，攻击者都以为这是 SQL 端口但其实是前端。22 端口搭建 MySQL 同样道理。
而关键的就是普通的浏览器默认是不允许链接这些端口的，比如浏览器会默认 21 就是 FTP ，22 就是 SSH ，53 就是 DNS 。
所以你需要专门做一个客户端强制用 22 或者 53 端口作为 HTTPS 来进行连接。

这是其实是很多黄站会用的方法。不是硬抗而是躲避，端口都是反直觉的，不会让你猜到这是什么服务。所有非客户端的访问都是直接 ban 。

pengtdyd

2024-01-04 07:59:03 +08:00

ddos 你怎么知道这个不是云厂商自导自演的行为呢？

Chuckle

2024-01-04 09:14:33 +08:00

凉拌，看保服务还是保钱包了，现在各家 cdn 的异常停止和通知至少都有 5 分钟以上延迟，黄花菜都凉了，我用着的 edgeone 个人版也没承诺能防护多少，最低成本就裸服务器扛吧，部署上 WAF ，找找高防算法用，至少服务器处理不过来的时候就死掉了，给你拔网线的时间，用 cdn 的话，把大陆外的 ip 都 ban 了，qps 设置好，国内攻击还是有点成本的

dedemao

2024-01-04 09:36:58 +08:00

硬抗

dode

2024-01-04 09:39:20 +08:00

隐藏服务，docker 部署，限制单个服务 cc 请求处理资源

要求登录，隔离拆分部署，不同用户服务器资源相互独立

zenghx

2024-01-04 09:59:50 +08:00

关机

zx900930

2024-01-04 10:00:21 +08:00

小公司一定要用资费封顶，超出断服务进黑洞那种的。
最难受的就是大公司，不能中断服务的那种。
因为流量刷起来，你的资费很容易就炸了。

dedemao

2024-01-04 10:00:57 +08:00

换 IP ，阿里云有弹性 IP ，5M 带宽的一个 IP 一天也就 4 元钱，打死一个再换一个。从买 IP 到绑定网卡，再到域名解析到新的 ip ，一系列操作都提供 API

cokey

2024-01-04 10:56:54 +08:00

最好的办法就是 CDN ，然后直接挂工单找客服，去申请关闭欠费保护期即可，我用的七牛云就是这样关的

fionasit007

2024-01-04 11:28:23 +08:00

一般的站也没有搞的，要是遇到专门有人搞的，没钱就没办法，waf 啥的只能防防手贱的，cdn 之类的增值服务都需要花钱的，我们之前 cdn 没做监控一晚上被烧了几个 w ，后面天天流量攻击，全是正常 ip 轰炸的，防火墙没有一点办法，只能花钱买流量扛，

fionasit007

2024-01-04 11:31:06 +08:00

@pengtdyd 是不是云平台故意的不清楚，我们前一阵阿里云 cdn 被攻击了，二话不说换了个平台，内部打折比阿里云便宜哈哈

fionasit007

2024-01-04 11:32:47 +08:00

@SculptureSand 要上 cdn 的话把监控加好，阿里云可以设置带宽封顶，到顶了指定停止服务

Features

2024-01-04 11:42:48 +08:00

买个小 IDC 的高防吧，一般就两三千一个月
对比阿里云一个月最低 1.8w 已经很便宜了

QKgf555H87Fp0cth

2024-01-04 11:44:19 +08:00

@Features 一个月 6 万，1.8w 是两三次，根本不够用。

opengps

2024-01-04 11:48:43 +08:00

多个 ip ，多个域名，分别对外提供完全相同的服务，这样即使被打，也需要对方有足够多的资源去调动

0o0O0o0O0o

2024-01-04 11:50:18 +08:00

不知道你们的规模，我提个我自己在用的：

- 只用微信生态提供服务，放弃 Web 、原生，用 https://developers.weixin.qq.com/miniprogram/dev/wxcloudrun/src/basic/overview.html#%E4%B8%89%E3%80%81%E4%BC%98%E5%8A%BF-%E7%89%B9%E7%82%B9
- 抗 D ，你 D 微信去吧
- cc 成本高，只要腾讯云不出漏洞，无效流量都被清洗了，落到你后端的请求都对应真实的微信号，报警了溯源成功的可能性也更高（仅是个人感觉，至少比海量肉鸡 IP 好溯源吧？）
- 支持设定 callcontainer 的扩容上下限，相当于设定了实例消费上限
- 存储等按量付费的自己想办法，自己模拟下怎么才能被攻击时不被刷爆
- 真拔线了也不怕和用户失联，可以上线个公告

成本有限就依托大公司，海外有赛博菩萨 Cloudflare ，国内没有平替，那就牺牲一点开发体验选微信吧

oudemen

2024-01-04 12:13:07 +08:00

云厂商的 slb 都有免费 ddos 流量额度，比如阿里云是 5G ，域名解析到多个 slb 上，每次攻击一般只攻击其中一个 IP ，所以剩下的还能正常提供服务。被攻击后，立刻停止对应 slb 的解析或者更换一个新 slb 。影响会降低很多，这一切可以搞成自动的。这是我想到最低成本的方案。

0o0O0o0O0o

2024-01-04 12:20:00 +08:00

@0o0O0o0O0o #37 可以说我低成本防护的核心思路就在入口，只要你还保留着域名的概念，就不要想着低成本解决了

有什么低成本难溯源的攻击思路也可以指出来讨论一下

kkkbbb

2024-01-04 13:46:14 +08:00

@wheat0r hhh

myqoo

2024-01-04 15:20:14 +08:00

纯静态资源的网站很容易防护

ugpu

2024-01-04 16:38:39 +08:00

域名解析指向 gov 网站. 不出一天对面进去了你就可以继续开启服务器了

kaf

2024-01-04 16:53:25 +08:00

大部分的攻击都是拉取域名无差别攻击，国内本身肉机少，通过设置一些特定的 header 鉴权就能档大半，当然如果专门来攻击你，通过浏览器复制你的请求攻击就没办法。这样防不住就弄一个发放令牌的服务，前端每次先调用拿到令牌，带着令牌请求，走 cdn 可以在 cdn 厂商配置远程鉴权，这样再防不住，大概率就是针对你攻击的，还是报警吧。
最后打个我司的广告，虽然不知名云服务公司，但是 cdn 服务自带高防，被攻击后台有人处理，攻击流量可以找客服 battle 掉，有需要可以联系