减少 DDoS 攻击有哪些简单有效的措施？

Laynooor

2018-08-20 08:07:12 +08:00

第三点，关机了还是有路由的，流量打过来机房还是会把你扔黑洞里。

kongque2016

2018-08-20 08:14:04 +08:00

@Laynooor 就是说，我关不关机，这个流量都要我掏钱是吗？就没有一点儿办法了吗？

Wincer

2018-08-20 08:15:48 +08:00

我记得 github pages 的流量也是有限制的，好像是 100g

RiESA

2018-08-20 08:20:53 +08:00

cdn 最实际了,cloudflare 免费,不过访问较慢,如果域名有备案,国内一些服务商也有提供免费 CDN

kongque2016

2018-08-20 08:23:27 +08:00

@Wincer 对，是 100g。不过感觉 github 下面的网站，不怎么会引起黑客的兴趣。而且我猜 DDoS 是 github 帮着抗。

cnbeining

2018-08-20 08:26:35 +08:00

干脆不监听公网 IP 就得了。

harde

2018-08-20 08:57:39 +08:00

DDoS 是属于攻击代价低廉，防范代价高昂的攻击方式。
某种角度属于无解。
因为公司常年被 DDoS，所以针对楼主说的几个猜想我简单回答下。
1、是的。但是攻击流量需要 GitHub 来扛，虽然 GitHub 每年遭受的攻击真不差楼主这点。
2、没有性价比，扛得住的流量费你受不了，扛不住的也没意义。
3、关不关机跟流量没关系，运营商发现后直接黑洞。 @Laynooor 已经说了。

目前我们的解决方案是一年掏个十几万的买高防 IP。比较浪费钱，但至少保证服务稳定可用。

Judoon

2018-08-20 09:03:26 +08:00

纯流量型的 ddos 完全没有措施减少，只能上流量清洗设备或者高带宽来防护。你说的三个方案都是防护，并不能本身去减少攻击啊！

abccccabc

2018-08-20 09:16:58 +08:00

楼主，要不试用下 nginx 的 limit_req_zone，我以前用过。

H0TSp1RnG

2018-08-20 09:32:43 +08:00

换成服务器主动发起呢

ithou

2018-08-20 09:56:48 +08:00

我们 cc 域名无法备案是硬伤～用不了国内 cdn

sen2

2018-08-20 10:00:35 +08:00

别装逼别引起别人注意

components

2018-08-20 10:03:59 +08:00

1.CDN
2.流量清洗

photon006

2018-08-20 10:24:33 +08:00

配置 nginx：
limit_req_zone：同一 IP 每秒限制最大请求数
limit_conn_zone：限制同一 IP 最大连接数

能起到一定作用。

也有弊端，局域网出口 IP 相同，如果多个用户同时访问会遇到 503，把限制放宽点，免得误杀。

inkedawn

2018-08-20 10:40:33 +08:00

关机这个……
攻击者的目的本来就是想让你服务无法使用吧……人家一打你就乖乖关了，这么听话……
如果为了省流量的话，楼上也说了……

f2f2f

2018-08-20 10:45:08 +08:00

防御加钱可及

blackhacker

2018-08-20 10:54:25 +08:00

3 写个变态脚本一开机就开始攻击手动狗头 /dog

kongque2016

2018-08-20 12:33:57 +08:00

@harde ”是的。但是攻击流量需要 GitHub 来扛，虽然 GitHub 每年遭受的攻击真不差楼主这点。“
谢谢回复，进一步问，托管在 GitHub 上的网站，没有独立的 IP，就是说，攻击者没有办法直接用 DDoS 的方式，攻击我的网站对吗？

leido

2018-08-20 12:50:25 +08:00

既然你敢随时关机，发现攻击了改 dns 指向被墙的网站不就行了，比如脸书。

leido

2018-08-20 12:52:22 +08:00

当然你域名 TTL 要足够短，比如一分钟