纯静态资源的网站很容易防护

用免费图床 CDN

仍有 99 种办法可以快速消耗你 CDN 费用~

世上本没有墙，用的人多了，这个网站就被墙了。

很多开源都是面向 KPI 开源

根据以往经验，把 Base64 称作“加密”的人，写的代码基本都是漏洞百出的。

@leaflxh 建议不错，不过还是很难避坑。

1. 用腾讯云/阿里云的 CDN ，回源 OSS 。同时 OSS 必须设置私有访问（防 OSS 被刷爆）

> 虽然 CDN 比 OSS 便宜，但每 GB 也要几毛钱。每天被刷个几十几百 TB 还是很肉疼的。

2. CDN 开启禁止国外 IP 访问（国外带宽大，用个几台 vps 就可以刷爆 CDN 。增加攻击门槛）

> 国内现在很多都是千兆带宽，攻击者搞些肉鸡就可以使劲刷。如果利用 HTTP/TCP 漏洞的话，甚至百兆带宽也可以刷出万兆带宽的效果。

3.开 Referer 检查，禁止空 Referer （防止别人用工具一键刷爆，但作用有限）

> 这种只是防基于 web 的恶意刷（类似之前 gfw 的 great cannon 这种），基于本地程序的请求就无效了。

4.设置单 IP QPS ，设置单线程下行带宽峰值。QPS 以视单页面最大的资源数为主（防止几个 IP 刷爆 CDN 。增加攻击门槛）

> 虽然每个 CDN 节点可限速，但同时对所有节点刷就统计不过来了。（可能在统计周期的延迟里，就欠下不少钱了）

最后点比较有意义，及时下线止损。国内带宽垄断导致的超高攻击费用最终还是用户买单。

CDN 不限速的话，用 TCP 漏洞单机就可以每秒可以刷几 GB ，一天可以刷几百 TB 。（当然很快就会欠费停机~）

网站发出来让大家压一压，验证能不能抗住- -

@tutudou 发挥想象力，云厂商其实有很多地方可以白嫖的- -

@julyclyde 本地再开个服务把 tcp 封装成 websocket ，毕竟 ssh 和 rdp 这服务都是运维人员用，不会公开对所有用户使用。这样安全性也更好，加密、鉴权、限流等等都可以在 nginx 上做。

更标准的做法：外层都用 HTTP / WebSocket 流量，根据不同的 path 转发到不同的后端服务

Time flies very fast.
[19260817, 20221130]

当年第一个小游戏就是网页版的扫雷，不过是 Vbscript 开发的~