关于防治DDoS的一个想法

共计 1319 个字符，预计需要花费 4 分钟才能阅读完成。

首先声明没有经历过 DD，只是了解了一些基础知识，纸上谈兵想让大家看看问题在哪。
假设：
前端一台 1Gbps 带宽 VPS，不存放数据，只设置了 nftables 转发所有请求至后端服务器；
后端一台 2.5Gbps 带宽 VDS，存放所有数据；
DNS 解析全部填写前端 IP，并假设后端 IP 不被泄露，攻击者对前端 IP 发起攻击。
当前端 VPS 带宽被 DDoS 堵塞崩溃时，由于前端已崩溃，转发数据包总量维持在前端带宽阈值，理论上后端宽带没有达到阈值，那么此时只需更换前端 VPS 并更新 DNS 解析，即可立刻复活。
这个思路有没有什么问题呢？

DNS 解析的生效时间，比名刀和复活甲的 CD 长三个字，没卵用 NO 怕波这看起来是没问题啊
​​​​​​​
/**
* 不是别人，是我，承认了你的价值
*
* Link https://greasyfork.org/zh-CN/scripts/396933-hostloc-zsbd
*/ 没啥问题 一 D 死就换前端？？？人家是傻子吗 d 半天发现没死不会 再 查下你的 dns 解析么买 100 台 vps 轮着换？DDOS 是打的你机器直接被服务商黑洞
你之后 DNS 解析到哪个新 IP，新发起的攻击会让新 IP 的服务器又被黑洞很好用，支持楼主，我觉得楼主这个方案没什么问题，唯一缺点就是废脑子。这不就是负载均衡吗

你更新就 D 新的，然后你 DNS 解析结果全是黑洞的 IP CDN 完全就是你想法的升级版 CC 这种设计差不多 DDOS 的话直接在前端暴露 IP 是没问题的前端没有足够的防御 也就瘫痪了 前端有足够的防御不需要后端

还有一个问题就是采用 dns 方式不行的 应该在底层串联你这个其实就是 DNS 的宕机切换 IP 功能啊
但是你要明白 DNS 的解析是有 ttl 的，而且客户端还会存在 DNS 缓存
所以真正的 DNS 解析全网生效会很缓慢，这对于一些非关键服务来说应该也能用。
关键服务一般使用 Failover IPdns 刷新不是实时的，你这样和打 / 死了没区别，还不如直接关机你不觉得一个机器绑定多个 IP 更合适？换了不能继续打？不如直接多机器直接轮询呢
/**
* 不忘初心，努力前行
*
*/ 正规的没几个人 D，不正规的烧钱就 OK 了 DDOS 最好的防御方式就是扛下来，其他的方案确实不行，我们正规应用有采用这样一个方案，像大家说的 DNS 有缓存，所以我们接入的是 HTTPDNS 返回实时更新的 IP，域名 TTL 买的最低值是 10，这样平时就放普通云服务器，入口 IP 被攻击了立刻买高防 CDN 转发，然后改域名解析，这个方案还比较省钱，没有防御的时候不用开防御的 CDN，也可以基本做到实时返回最新的 IP，对线上业务影响比较小，其实和楼主的思路是差不多的。其实 netcup rootserver 有免费的流量清洗

哪有高防 CDN 卖？想法是很好的
去试试
然后来 LOC 求打