自己的一个项目有一些用户量,部署在海外服务器上的,前天被攻击了,直接进黑洞了,然后上了个高防ip,每个月多300块钱,只有50g的防御而且这个高防ip还绕美。延迟就高一点。由于没有什么防护经验,想到了一套可行的较低成本的方案,看看大家怎么说。
我看我服务器cpu和流量都挺正常的,然后就进黑洞了,具体攻击量有多大我也不知道
业务域名解析到反代服务器上,再准备一个域名套cf的cdn 解析到高防雷池服务器上
反代服务器–> 雷池高防服务器 —> 源站
如果反代服务器被攻击,那我就把业务域名cname到套了cf的域名上,最多优选下,至少能保证部分用户可用或者挂梯可用吧
站点规模也不大,但是每天也有一百多付费用户。大家有什么建议嘛
佬,太专业,建议请教下始皇
dns解析,平时解析到“线路好,三网直连”的vps上。一被打就调用cf api解析到cf上。
这样别人也打不死你。别人放弃了再解析回来。打游击战,看谁耗得久。
或者直接挑衅ddos攻击者(D哥) 
,让他们不知道虚实。就不敢动手 。比如别人的:bbcode.link
被扫描好说,被D被CC确实挺难办
这个确实可以请教下始皇,毕竟L站之前没少被攻击过
@neo 请教请教始皇
蹲一下,这要能讨论成真能成技术好帖
这么麻烦,你直接搞一个ovh的1刀鸡反代就行了
前端加个免费的waf,部署在ovh(一刀一个月)上再加上cf基本上无敌了
佬这有啥方法知道什么时候被打然后解析到cf上?而且是怎么动态解析到cf上?没玩过有点不明白,能有啥具体帖子吗 
cf 我觉得是要上的,用替代方案会多花很多钱。cf 一定要把相关接口速率设置好,对于一些非受众国家的 ip 直接盾,如果可以设置 ip 白名单解高速率。此举针对 cc 有奇效。
服务器开 ip 白名单,只允许 cf 的 ip 段访问。而且很重要的是,使用 cf 给的服务器证书,不要自己去申请其他免费的证书。此举针对 fofa 之类的找源 ip 有奇效。
如果你的服务器需要出口访问,容易被对方钓真实 ip 。可以买个 ovh 的小鸡部署代理,同时只给你服务器 ip 开白名单,让你服务器走 ovh 出去(一般设置 http_proxy 之类的环境变量即可,特殊软件具体对待)。这样对方最多能获得 ovh 的地址,难打不说,打死了也对你业务影响不大。此举针对 d 有奇效。
另外如果使用了 smtp 发信,注意 smtp 服务泄露你的 ip 。用大厂的服务一般无此问题。
这一套下来,打你的代价就会非常大,收效非常小,而你几乎没有增加什么支出。
我认为如果没有出口需求可以使用CF的tunnel,完全不对外暴露(甚至没有公网IP即可,Tunnel的本意好像就是这个用途)
同意, 然后服务器直接关掉 443 / 80 端口, fofa 那些扫端口的是一点机会没有, 再也不用担心泄漏源站.
不过我在想它的服务端程序 cloudflared 性能如何呢.
至于代价, 就是 CloudFlare 会慢, 不过总比用不了好.
而平时解析到线路好的反代机器, 受攻击切换到 CloudFlare 就行, 反代机器进黑洞后放出来的时候再切换回去.
或者学学 CloudFlare 的边缘 DDoS 缓解方案, 借助 eBPF 卸载异常流量, 有没有可行性
始皇所说 ovh 借以隐藏服务器 IP, 个人用的话感觉 WARP 也有奇效
我的想法是这样的
平时
源>>>反代>>>user
被打时:
源>>cf tunnel>>user
就是 DNS 平时设置为反代机器 IP, 不开橙云朵, 挨打就切换为 tunnel 的域名, 开橙云朵嘛. 一条龙命令解决的事, 反代机器配置个检测 1 分钟负载, 流量等等, 超阈值就自动执行操作就好, 就不用人盯着了.
关注服务器攻防
有人说雷池WAF是智商税,大家怎么看呢。
服务器出口需求?我没想到会被调到真实ip的例子。一般服务器上应用如果要访问外部api啥的,不都是自己写的地址可信的嘛,或者说真实ip不是只在这些应用手上,攻击者也拿不到啊
但是我那次被打,直接进黑洞了,我的cpu和网卡流量都很正常。客服说被上层拦截了,所以具体怎么打的我也不知道
雷池WAF是智商税嘛,有人说这玩意儿 “雷池这种重量级的而且不操作iptables/ufw的玩意起负作用? 本来带宽还没爆,雷池的错误信息页把它爆了?”