实战防御：分层对抗，对症下药才有效

第一层面：网络层防御（主要针对DDOS攻击）

1. 接入高防IP/云端清洗中心：这是最核心、最有效的防御手段。通过BGP路由将所有流量引流至高防节点，清洗中心会基于预设的攻击特征库（如SYN Flood的数据包特征），拦截已知攻击；同时通过建立正常流量基线，识别偏离基线的未知攻击，将干净的流量回源到服务器。优质清洗中心的正常流量通过率应≥99.5%，攻击拦截率应≥99.9%。
2. 预留弹性带宽：按业务峰值预留足够的带宽冗余，攻击时自动启用备用带宽池，避免被海量流量瞬间压垮。对于中小站长，可选择“按需付费”的高防服务，日常用基础带宽，大促、活动期间临时升级，成本可降低50%以上。
3. 优化协议配置：启用SYN Cookie抵御SYN Flood攻击，关闭DNS、NTP等易被用于反射放大攻击的协议；通过防火墙限制TCP连接数、禁止ICMP协议，减少攻击入口。

第二层面：应用层防御（主要针对CC攻击）

1. 部署WAF（Web应用防火墙）：这是防御CC攻击的关键工具。通过WAF配置多维度规则，比如单IP每分钟最多60次请求的动态阈值（可根据业务高峰自动调整），超限则触发拦截；同时利用IP信誉库，对IDC机房、代理池等高风险IP段的请求增加验证强度。
2. 启用人机验证：对触发限流阈值的请求，要求完成图形验证码、JavaScript挑战（如计算随机数哈希）或短信验证，过滤机器脚本发起的攻击。注意区分用户等级，新用户严格验证，老用户放宽限制，避免过度防护导致误拦截。
3. 行为轨迹分析：通过WAF分析用户访问路径，比如正常用户会先浏览商品、加入购物车，再进行下单，而CC攻击会直接调用下单接口。对不符合正常逻辑的请求，直接拦截；同时监控日志，识别同一IP短时间内高频访问同一URL、大量重复User-Agent等异常特征。
4. 基础限流配置（中小站长必看）：如果没有部署WAF，可通过Nginx配置简单限流，示例代码如下，限制单IP每秒最多5次请求，突发请求不超过10次，有效抵御小型CC攻击：

5. http {
    limit_req_zone $binary_remote_addr zone=cc:10m rate=5r/s;
    server {
    location /api/ {
    limit_req zone=cc burst=10 nodelay;
    }
    }
   }

   第三层面：业务层防御（全场景兜底，降低攻击影响）

   无论网络层和应用层防御多完善，都需要从业务架构层面做好兜底，减少攻击对核心业务的影响，核心策略有3点：

   1. 核心业务隔离：将支付、登录、订单等核心业务部署在独立服务器集群，与资讯、评论等非核心业务隔离，即使非核心业务被攻击，核心功能也能正常运行。
   2. 弹性扩容与缓存优化：攻击时自动增加应用服务器和数据库实例，分担处理压力；同时将商品详情页、资讯页等动态页面缓存至Redis或CDN，减少数据库查询压力，即使服务器CPU负载较高，也能保障页面正常加载。
   3. 接口降级与应急预案：攻击期间，临时降级非核心接口（如商品评价、历史记录查询），优先保障核心功能可用；同时制定应急预案，每季度开展攻防演练，模拟真实攻击场景，目标是从发现攻击到处置完毕≤15分钟。

   实战案例：电商大促的混合攻击防御复盘

   某电商平台在“双11”期间遭遇DDoS+CC混合攻击，攻击持续2小时，最终通过分层防御实现核心业务可用性99.9%，订单量未受明显影响，其应对过程值得参考：

   1. 攻击识别：监控发现带宽从5Gbps飙升至50Gbps（典型DDoS特征），同时商品详情页接口请求量达日常20倍，服务器CPU占用率95%（典型CC特征），判断为混合攻击。
   2. 分层防御：
      1. 网络层：流量自动切换至云端高防，清洗中心过滤90%的DDoS攻击流量，启用弹性带宽池，避免带宽被占满；
      2. 应用层：对商品详情页接口开启“频率控制+行为验证”，单IP每分钟超过5次请求需完成验证码，WAF拦截异常请求；
      3. 业务层：自动扩容10台应用服务器，将商品详情页的数据库查询结果缓存至Redis，临时降级商品评价接口，优先保障下单、支付功能。
   3. 攻击后优化：分析攻击日志，更新WAF攻击特征库，调整限流阈值，增加高风险IP段拦截规则，同时优化数据库查询语句，减少高耗时接口的资源消耗。

   避坑指南：这些防御误区一定要避开

   很多人在防御CC、DDOS攻击时，容易陷入误区，导致防御效果不佳，甚至影响正常用户访问，重点避开3个坑：

   • 误区1：过度防护，误拦截正常用户：某论坛因防护过严，将正常用户发帖、评论的请求误判为CC攻击，导致用户流失。解决方案：区分用户等级，动态调整限流阈值，高峰时段提高阈值，低峰时段降低阈值。
   • 误区2：只防御一种攻击，忽略混合攻击：很多站长只部署高防IP防御DDOS，却忽略了CC攻击；或只配置WAF，无法抵御大流量DDoS攻击。正确做法是“分层防御、全面覆盖”，网络层+应用层+业务层协同防护。
   • 误区3：不做演练，应急响应滞后：很多企业部署了防御工具，却从未开展攻防演练，遭遇攻击时手忙脚乱，无法快速处置。建议每季度开展1次演练，模拟不同类型的攻击，优化应急响应流程。