减少 DDoS 攻击有哪些简单有效的措施？

第三点，关机了还是有路由的，流量打过来机房还是会把你扔黑洞里。

@Laynooor 就是说，我关不关机，这个流量都要我掏钱是吗？就没有一点儿办法了吗？

我记得 github pages 的流量也是有限制的，好像是 100g

cdn 最实际了,cloudflare 免费,不过访问较慢,如果域名有备案,国内一些服务商也有提供免费 CDN

@Wincer 对，是 100g。不过感觉 github 下面的网站，不怎么会引起黑客的兴趣。而且我猜 DDoS 是 github 帮着抗。

干脆不监听公网 IP 就得了。

DDoS 是属于攻击代价低廉，防范代价高昂的攻击方式。
某种角度属于无解。
因为公司常年被 DDoS，所以针对楼主说的几个猜想我简单回答下。
1、是的。但是攻击流量需要 GitHub 来扛，虽然 GitHub 每年遭受的攻击真不差楼主这点。
2、没有性价比，扛得住的流量费你受不了，扛不住的也没意义。
3、关不关机跟流量没关系，运营商发现后直接黑洞。 @Laynooor 已经说了。

目前我们的解决方案是一年掏个十几万的买高防 IP。比较浪费钱，但至少保证服务稳定可用。

纯流量型的 ddos 完全没有措施减少，只能上流量清洗设备或者高带宽来防护。你说的三个方案都是防护，并不能本身去减少攻击啊！

楼主，要不试用下 nginx 的 limit_req_zone，我以前用过。

换成服务器主动发起呢

我们 cc 域名无法备案是硬伤～ 用不了国内 cdn

别装逼别引起别人注意

1.CDN
2.流量清洗

配置 nginx：
limit_req_zone：同一 IP 每秒限制最大请求数
limit_conn_zone：限制同一 IP 最大连接数

能起到一定作用。

也有弊端，局域网出口 IP 相同，如果多个用户同时访问会遇到 503，把限制放宽点，免得误杀。

关机这个……
攻击者的目的本来就是想让你服务无法使用吧……人家一打你就乖乖关了，这么听话……
如果为了省流量的话，楼上也说了……

防御加钱可及

3 写个变态脚本一开机就开始攻击 手动狗头 /dog

@harde ”是的。但是攻击流量需要 GitHub 来扛，虽然 GitHub 每年遭受的攻击真不差楼主这点。“
谢谢回复，进一步问，托管在 GitHub 上的网站，没有独立的 IP，就是说，攻击者没有办法直接用 DDoS 的方式，攻击我的网站对吗？

既然你敢随时关机，发现攻击了改 dns 指向被墙的网站不就行了， 比如脸书。

当然你域名 TTL 要足够短，比如一分钟

@leido 可以这样？我研究一下。

个人觉得就算你不用 cdn，有一个前端代理也是好的，代理挂了就挂了，换个代理就行了。

@kongque2016 直接打 IP 就行了。

@kongque2016 可以这样理解。不过这里同时有几个问题。
1、放在 Github 的静态站点没有什么值得攻击的。
2、如果的确攻击的频率、流量引起 GitHub 的注意，GitHub 说不定也会关停你的页面。

@kongque2016 实话说，其实楼主既然已经在问 DDoS 攻击的事了，按理说也应该具备，至少粗浅的具备运维知识了。
不太应该问出这个问题的，而如果楼主作为开发人员，其实也不太需要在意这些事情。。。

竞争对手比较单一的话，就搞清楚了就花点钱 D 回去。这个是成本最低的方法。

要么干掉打来的流量（用宽带扛下来）。
要么干掉攻击的人。

曾经混过一段时间的灰产分享一些

1.Github 发现你的域名异常，会第一次时间拉黑（可以理解成域名黑洞），可能你这个域名以后无法再也解析到 Github。

2.上 CDN 是个好办法，防 Ddos，不防 CC （除非你纯静态可缓存），我个人推荐是 CDN+WAF，这是成本相对较低实用性较大的办法。

3.这个完全就是自欺欺人，1 楼说的很清楚了，流量到机房自然就黑洞了。

4.上面有人提到 DNS 解析到别人的 IP 去，其实这是个非常危险的行为，很多人可能意识不到，当你指向别人的 IP，不管是 GOV 的也好还是比较知名的大服务商，万一真这个第三方真的挨打受损了第一个抓的可不是打你的人，而是你这个指向的人，因为你想想是一个域名的信息好查，还是控制流量躲在背后的人好查？事情发生了总要拉个背锅的。

5.真实流量打过来，什么软件防御都是无效的，打个比方，一个泳池放水能力是 1 立方 /S，水管就这么大，大于 1 立方的都得等着，如果水太多漫出来影响到其他泳池，那么不好意思，肯定不让你继续进水了，因为其他泳池受影响了。

6.DNS 一样可以进行查询攻击，服务商也会停止你的解析。

7.单条家庭带宽是打不出“量”的威力的，除非你 JJ 数量真的非常巨大，“量”主要看上传速率，参考国内运营商，如果你长时间或者固定时间上传保持在高速率，会被运营商风控盯上拉黑限速，一些拿家庭带宽做个人网站的同理都是被风控盯上，这里就不多说了。

8.所谓 100G 200G 甚至 300G 防御的机器怎么才几百块或者是千把块？我告诉大家，这类机器价格=机器成本（含机房成本）+流量成本+商家利润，是的，这类机器或许可以帮你挡几波攻击，一旦流量成本被消耗完毕，那你这个机器基本上是属于黑机，什么意思，就是说帮你挡完你该享有的流量成本后，随便一碰就会凉凉黑洞。

9.目标比较好的防御方式我分享一下，WEB 服务参考分享 2，如果是 C/S，我个人推荐是分布式，也就是市场上现在的各种盾，原理也就是 N 个前端反代结合后端的源机，做到隐藏源机 IP 的作用，所有人不在同一台服务器即使被 D 损失也相对较少，而且攻击者会无从下手，当然这个成本是不低的，说一下百度上面的“游戏盾”几百块一个月的节点挨不了多少打的，DDOS 的对抗就是成本问题。

10.总结一下，在 DDOS 界里，充斥着不少不诚信的行为，不管是想攻击别人上当受骗的，还是被不良商家忽悠买机器的。

@harde 我是开发人员，但业余要维护一个网站（论坛）。

真正的 DDoS 没有什么防护措施，除非跟运营商合作做流量牵引，或者有机房做流量清洗，不然真没什么办法

@wafm 其实我如果上 cdn 的话，主要是要他隐藏 IP 的功能，至于“抗揍”的功能不奢求（因为没钱砸）。IP 一隐藏的话，起码不会让人随便摸一下打一下，就好比夜晚把衣服收回屋子里，是防止无心的路人起贼念，但不防大盗，想偷就偷，反正我这衣服也不值钱，明天再买一件就是了。

@wafm 干货好多，赞一个。

@kongque2016 那其实你可以参考一下负载均衡，那个应该更便宜一些。。

@kongque2016 那么最好的办法，就是让甲方加钱。甲方要是觉得贵，你省事了。甲方要是掏钱了，你也省事了。

上个百度云加速 简单直接有效 哪还需要这么折腾啊
有钱的 上知道创宇

其它的大家说得差不多了，我说最后一点吧：

不要把虚拟主机想得太好，我用过一个号称国外不限流量的名牌虚拟机主机，曾经被攻击过，流量可能才 10G 吧，就被服务商拉黑了。

@RiESA cloudflare 访问慢很多，cloudflare 的付费没用过不知道速度上差的多不多。自建 cdn 技术或者资料有推荐的么

@harde 使用高防 ip 访问速度会降下来么？自建 cdn 靠谱不

@wafm 请教下，有段时间我们一个网站经常性被 DDoS，打趴下的有阿里云和 cloudxns，最后切到百度云加速后攻击就无法继续，国内还有哪些性价比比较高的防护服务？

@xinghai10086 不会降低速度，至少用户无感。自建 CDN ？怎么个建法？应该不是机房吧？用多台异地主机？之前我们被攻击，峰值流量 50G 左右，你得多少个主机抗。。。

基本防御就是用 CDN 隐藏真实 IP，不要暴露主机的 IP，不要作死求打，剩下的看天。如果你没钱，抗不住的，那些高防的也是有一定条件的，即使可以防御如果不做定制规则，对网站影响还得挺大的。而且基本都得砸钱。
被打就是关机睡觉，虽然关机是没用的，只是一种无奈的自嘲罢了。在一些竞争激烈的地方互相 DDCC 也是日常了。

@shiny 百度云加速做的是不错的，我很推荐。

前身是安全宝，也就是知道创宇合作的产品，现在又和 cloudflare 合作 可以说是挺好用的了 其他的不清楚 当时我也用的是百度云加速 只要设置得当效果不错的。

@ithou cc 不能备案？我前两个月才刚备案了个 cc

@c00WKmdje2wZLrSI 对啊 我阿里云买的，不能认证不能备案 😅

@harde 你们后面是用的哪家 cdn，如何处理抗住 50g 流量

@xinghai10086 阿里高防 IP