前言

无意间刷文章的时候看到一篇文章，写的是遇到ddos，怎么用iptables封IP.......

然后我就百度搜了一下，好多都是这么说的，但是我发现，大多数人只要遭受过长期Ddos的，就不会再信网上的文章

文笔不太好，各位师傅见谅,另外，本文仅为自己的见解，大佬请绕道走。

真实故事

上个月在开办”帕鲁杯“CTF比赛的时候，遇到了友商的DDos攻击，我们买了100G的防御，觉得应该差不多就够了，没想到攻击者的心眼子远远比我们想象中的坏。

于是我们就开始处理起来了事件。

像一些腾讯云、阿里云大厂的云服务器，都有免费解封机会，可是治标不治本。。。。

关于网上的文章

我粗略的看了一下，大多数人写的都是iptables封IP，直接就笑了。。。。

简单用对话的形式表述一下

假设”非法用户“被iptables封掉了IP

普通用户：开门

服务器：这位爷，里面请

非法用户：开门让我进去

服务器：不开

非法用户：开门

服务器：不开

实际上，服务器和用户还是进行了交互，那iptables你说说心里话。。。真的有用吗？

一些文章还正儿八经的教你

误人子弟！！

DDos攻击要从上层解决，这里的上层，不单止防火墙、负载均衡等只要让流量到达主机前进行过滤就可以了，从主机上防，根本没用！

我是怎么防御的？

那么当我们知道了从主机上防御根本没用后，怎么来防御？

当时想了两种策略

第一种就是买高防，从好几个T的流量清洗，但是贵的要死，而且比赛就那么几天。

第二种策略我们就用到了，cdn，一个说贵不贵的，说便宜也不便宜的东西。

从网上找了张图片过来，大致就是这样。

我们通过cdn技术，抵挡了一次攻击，可是，我们大意了，我们没有设置 仅域名访问，fofa不到12h就把我们ip地址扫到了，正常情况下不可能这么快，有知道原因的师傅，可以留言一起讨论。

然后我们团队一起探讨了大概10分钟，短时间内迁移服务器，套CDN，配置Nginx，成功抵挡了攻击。

到底应该如何防御？

下面我们区分一下用户：

1.小型网站：个人网站、流量比较小的网站，并且对速度要求不是很严格的

可以使用CloudFlare的免费cdn，通过优化速度，可以达到200毫秒左右，速度也还可以。

怎么优化?

可以百度一下笨牛网，这个平台可以对接CloudFlare，自动优化，教程也还挺简单

2.中型网站

中小型企业，使用付费cdn，价格也不贵，把禁止国外IP访问就好了

像一些腾讯云、阿里云，等都有这种业务，还有一些小型的IDC公司，再次不做阐述。

3.大型网站

大型网站就意味着流量比较高了，就要从服务器开防，有钱上cdn也可以，推荐买一些高防服务器之类的。

总结：要么你的IP能抗打，要么你别人攻击者看到IP地址

最后

祝愿各位踏上信息高速路的师傅们，永不被DDos

蓝队应急响应工具箱：夸克网盘分享

蓝队工具箱：夸克网盘分享

原创应急响应靶场：夸克网盘分享