交流被 DDOS 之后的防护手段，先说说我的处理方式

我的站最近被攻击，防护经验几乎没有，正在边学边和攻击者斗争。


现在是域名挂 cf ，服务器只允许 cf 的 ip 入站，这样源站即使被攻击者发现 IP 地址，是否也没办法直接攻击我的源服务器了？因为防火墙把其他 IP 挡掉了。

免费版的 CF 可以挡住一些攻击，但是如果攻击者加强攻势，CF5 秒盾依然挡不住。这时候升级付费版是否有用？

看了阮一峰的 ddos 文章，还有搞镜像服务器的套路来防； ddos 的攻击成本是多少？今天半天打我的流量看了一下，有几百 G ，难道不用钱吗？因为我的站并没有收益，所以我暂时没花钱来做防护。

和防护的成本比起来，ddos 简直是免费的

ddos 的攻击能把你的服务器性能榨干，软件防火墙在 DDOS 面前不值一提

第二段反了，就算只允许 CF IP 进站，别人打你你也会被服务商黑洞，但这样做能防止扫资产的网站扫到你源站 IP

CF 免费版遇到 CC 直接开交互质询，五秒盾随便绕，开交互质询挡住之后看日志找特征写 WAF 针对性防御

DDoS 攻击成本几乎没有，某地方找个机器人天天签到都能打上百 G ，找专业的给不到一千能打上 T

@ssh 云主机的防火墙根本就不在机器上，不会对机器有影响

@littlewing 云主机的防火墙是有限量的,超了会被黑洞

直接不暴露源 IP 。扫都扫不出的那种，比如源站用其他域名，非白名单 ip 不可 tcp 连接之类的。
服务不重要的话，遇到攻击直接间歇性佛系自闭。

重要的服务。隐藏的真实的源 => 隐藏的 cdn 源（节点多一些） => 提供服务的 cdn （节点多多的）。节点被攻击就直接黑洞。ttl 搞短点，让 dns+cdn 去自动平衡流量。不知道这个思路行不行。dns 的东西忘完了，不确定。


他搞分布式攻击，你就搞分布式服务。被攻击的节点直接自闭，也产生不了多少流量费用。🤣

说一个简单粗暴的做法，关闭所有 udp 端口

你能想到的 CF 早都想到了

我是游戏私服就我和朋友几个人用，所以是开 ip 白名单 = =