这种攻击如何防御？

交给更上层的防火墙
比如
iptables -I INPUT -p tcp -s x.x.x.x --dport=443 -j DROP

@leaflxh #1 多谢回复，发现 IP 特别多，有办法自动封锁 IP 吗？

一秒不到 30 个，不多。只是你拒绝方式有问题，403 的话还会响应，也就会占用带宽。你改成 444 就好，这个是 nginx 断开连接的状态码。

@google2020 #2 多谢，由 deny all 改为了 return 444

fail2ban 自动使用防火墙封锁，可以读 nginx 日志

@traffic #5 感谢，我研究下。不知道是谁那么无聊，天天攻击我

立刻换 IP ，然后套 CDN ，服务器在国外就无脑 Cloudflare 套五秒盾。

@jaylee4869 #7 很神奇的是，我换了 IP 攻击还是一直没断过，感觉就没换过一样

这种攻击叫 CC 攻击，上 waf 就行了。

https://www.safedog.cn/website_safedog.html

你这种情况可以直接交给 waf ，不用在业务服务器上配。

不愿意透漏姓名的 y 文档 运维 你好。

@balabalaguguji fail2ban 自己写个规则被，不会就问 gpt 。记得把 ban-action 改为 drop

套 CDN 上 WAF 设置 Rate limit 就可以了，你甚至可以自定义 Response Code 和 Response Body 让对方懵圈。

@onice
@flyqie
@dufldylan1
@strp

多谢各位指导，学习学习

dns 直接解析到源站 ip 了？

报网监 X
来论坛问 √

国内网络早就实名制了，你不去报案，今天攻击你的人没被惩罚，明天他们还会继续攻击你，毕竟现在攻击成本很低，防御成本很高。

@laminux29 #16 好吧，我还不知道有这个选项可以。

不是我放风凉话，这种频度的，自己写一个都能防住。如果能改源码，那么直接加一个类似拦截器的操作。如果不行，那么自己写一个 tail 读取 nginx 日志，然后对 ip 进行时间窗口计数，超过频度，可以直接执行 shell 。但是得提前备份 iptables|firewalld 配置，避免后续记录太多。

@crazyweeds #18 接受批评，这方面确实没经验，跟你们学习，多谢指教

iptables + ipset
-A INPUT -m set --match-set denyIp src -j DROP
代码中加入攻击特征提取，把提取到的 IP 加入 denyIp 列表中。