最近想写一点真实的关于ddos 和cc 防御的感受 。

由于长期接触防火墙，对于防御ddos和cc 有点浅见，

事情是这样的 ，一个朋友的公司只专门做护肤品的网站 带了 微信小程序 ，也有H5的 浏览器页面 ，而且 朋友 领导那边 对 被同行攻击这块 非常着急 ，因为 他们的erp系统和 员工打卡系统 都在 同一个网页 ，特别尴尬的是没到 下午 6点时候 员工打开的时候 网站总是被攻击 ，员工 没打开都不能下班，经朋友介绍，也是找到我 ，经过了解 ，他们公司的服务器 开始本来是在 线下的机房，都是独立服务器 ，硬件设备都是 很硬气，32核心 64 G 内存，相对线下服务器 机房防御 还是 比较完备 ，但是很尴尬的是，公司 是初创公司 ，没有什么钱请专业的运维人员，所有的东西都是 开发人员搞定，有一次数据库的 因为磁盘的磁道损坏 ，也没办法修复，吃了大亏，没办法的情况下，把 网站 全部迁移到 某大型互联公司的云业务上，这个时候问题来了 ，在一次 护肤产品发布的时候，遭遇同行的强烈的ddos攻击，导致网站瘫痪 24小时，ip被封24小时 ，客户在 搜索了多家 防御 ，当然 现在用的云服务商也是有网站的waf 防御 ，相对价格 比较贵 在 3500+ 一个月 ，客户问我采用 均衡负载有不有什么用，

均衡负载一般是用haprxoy 或者niginx 4层或者7层协议做的转发 并没有 应用层的过滤或者 网络层的 屏蔽ip

也就是没有用，

当时 我给的方案是在应用层开启js 防御

在网络层 设置 触发阈值 屏蔽ip ，

当网站防御全部做好了以后 ，客户反， 微信打不开网页 ，

经我们检测 ，微信的打开的 脚印不一一样 我们设置了放行微信的user-agent

由于 那边是采用java 开发的网站程序 ，还是 各种api 需要过白名单 ，相对来讲架构还是 比较复杂 ，结果是完美防御 ddos ，大概屏蔽了 5000多个ip