一觉醒来服务器被 ddos 了，有什么好方法防范

套个 cloudfare ，让他们打好了，没啥好办法

看看能不能搞个验证码系统，比方说短信验证码 API 提交之前使用图形验证码来验证正常业务用户，控制访问频率。

IP 限流，套 CF ，配置 WAF ，发现流量异常上人机验证，牺牲点体验，先保住服务能用，如果对方饱和攻击，要么加钱高防流量清洗，要么就躺着吧，说明你的业务很值钱，下了血本。。

翻个面接着睡

这个是 CC ，不是 ddos 。

套个 CF ，然后按照 ip 访问限流，禁止直接访问，应该就没问题了

cdn 可以做 ddos 防护和 CC 攻击

我也被刷过，直接 cpu 满了。写了个脚本从 log 中找出所有高刷的 ip 给 nft 防火墙 block 就消停了，看了一下也就几十个 ip 在疯狂刷。

根本解决办法就是对所有用户都限制频率，包括正常用户，如淘宝的 "累了，休息一下" 的滑块校验

能被打其实是好事，说明做出来的东西有点用处。
至于防范，取决于是否你真的需要在被打期间持续提供服务，这玩意除了砸钱上高防没什么好办法，因为即使高防本质也是在网络上层硬扛下来之后才能做流量清洗。

只是 2 核 4G 的服务器，带宽估计也不会超过 10M,这种服务器面对刷接口的 CC 攻击，在 nginx 限频，限速就可以了。如果服务器在国外那么套 CF 是最优选择。
不过你这个“全是 php-fpm 进程”，我怀疑是你 php 的配置有问题，毕竟双核，那么多 php 进程不正常，上下文切换很消耗 CPU 。