关于防治DDoS的一个想法

首先声明没有经历过DD，只是了解了一些基础知识，纸上谈兵想让大家看看问题在哪。
假设：
前端一台1Gbps带宽VPS，不存放数据，只设置了nftables转发所有请求至后端服务器；
后端一台2.5Gbps带宽VDS，存放所有数据；
DNS解析全部填写前端IP，并假设后端IP不被泄露，攻击者对前端IP发起攻击。
当前端VPS带宽被DDoS堵塞崩溃时，由于前端已崩溃，转发数据包总量维持在前端带宽阈值，理论上后端宽带没有达到阈值，那么此时只需更换前端VPS并更新DNS解析，即可立刻复活。
这个思路有没有什么问题呢？

DNS解析的生效时间，比名刀和复活甲的CD 长三个字，没卵用NO怕波这看起来是没问题啊
​​​​​​​
/**
* 不是别人，是我，承认了你的价值
*
* Link https://greasyfork.org/zh-CN/scripts/396933-hostloc-zsbd
*/没啥问题 一D死就换前端？？？人家是傻子吗 d半天发现没死不会 再 查下你的 dns 解析么买100台vps轮着换？DDOS 是打的你机器直接被服务商黑洞
你之后DNS解析到哪个新IP，新发起的攻击会让新IP的服务器又被黑洞很好用，支持楼主，我觉得楼主这个方案没什么问题，唯一缺点就是废脑子。这不就是负载均衡吗

你更新就D新的，然后你DNS解析结果全是黑洞的IP CDN完全就是你想法的升级版CC这种设计差不多 DDOS的话直接在前端暴露IP是没问题的前端没有足够的防御 也就瘫痪了 前端有足够的防御不需要后端

还有一个问题就是采用dns方式不行的 应该在底层串联你这个其实就是DNS的宕机切换IP功能啊
但是你要明白DNS的解析是有ttl的，而且客户端还会存在DNS缓存
所以真正的DNS解析全网生效会很缓慢，这对于一些非关键服务来说应该也能用。
关键服务一般使用Failover IPdns刷新不是实时的，你这样和打/死了没区别，还不如直接关机你不觉得一个机器绑定多个IP更合适？换了不能继续打？不如直接多机器直接轮询呢
/**
* 不忘初心，努力前行
*
*/正规的没几个人D，不正规的烧钱就OK了DDOS最好的防御方式就是扛下来，其他的方案确实不行，我们正规应用有采用这样一个方案，像大家说的DNS有缓存，所以我们接入的是HTTPDNS返回实时更新的IP，域名TTL买的最低值是10，这样平时就放普通云服务器，入口IP被攻击了立刻买高防CDN转发，然后改域名解析，这个方案还比较省钱，没有防御的时候不用开防御的CDN，也可以基本做到实时返回最新的IP，对线上业务影响比较小，其实和楼主的思路是差不多的。其实netcup rootserver有免费的流量清洗

哪有高防CDN卖？想法是很好的
去试试
然后来LOC求打