STUN (webrtc) 服务有啥好的 DDOS 防御方案吗？

1.上 CDN ，可以保护源站不被攻击，一般厂商都有高防方案，国外当然找 CF ，akamai 了
2.源站上硬件 waf 、防火墙、负载均衡、ddos 清洗设备、入侵防御等等~~~或者丢高防机房
3. 长亭有个开源 waf 可以试试看，雷池

@newshbb 我用的 bcc+xdp 做的，当时是为了给我们的操作系统加一个 ddos 防御，做的比较粗糙，思路就是记录每个 ip 每秒的连接次数，超过阈值，就加黑名单里，黑名单 ip 的包直接在 xdp 那里直接丢掉

楼上一堆人瞎建议，STUN 服务没法上 CDN ，上了就没用了。

要么自己买高防服务器，机房自己带宽够大有清洗能帮过滤。

如果按你说的已经看过源码了根据你的应用层协议伪造数据包攻击了，那基本上外面商用方案没有一个有用的，都会被 bypass ，你的选择目前只有


买高防服务器（但不依赖他们的过滤，依赖的是他们机房的大带宽，如果机房厚道的话，有 500G 的入口带宽那基本上你就当能有 300G 有效防御），然后你自己要在服务器的应用层加点跟防火墙（你目前的 nftables 就可以）联动封禁的机制，那只要 300G 以内你的程序能处理的过来，就可以当做没事了。如果 300G 以上，你只能多部署几个不同高防服务商的节点，这样流量打过来客户端有个切换机制不用某个节点就是，如果对方仍然死追不放，把你节点全部打死，那对方攻击花费的成本一定比你高，那这个事情，有钱就是大爷了有钱鸡巴硬就无解了




PS>理论上来说如果大于 500G ，你的高防服务商都会被宽带运营商那边黑洞了，所以他的清洗也没用，500G 当 300G 是因为高防服务商不只为你服务，上高防的隔壁租户如果是游戏那基本也是天天被打的必须要有折扣。

@RatioPattern 谢谢，我终于可以解释给客户我为啥不上 CF ，天天 BB CF ，烦死了。