有意与无意之间

前段时间公司网站遭受DDOS攻击，瞬间每秒接近30G(其实攻击力度很低啦)的流量涌向主项目的负载均衡，由于服务器全部裸奔，除了关机没有任何解决办法，但老板不允许关机，最后是腾讯云单方面强制关闭负载均衡服务器1小时后，攻击消失。

其实在此次攻击发生前，已经发生多次DDOS攻击，腾讯商务报价5万每季度/10IP/10次峰值DDOS防护套餐被老板认为太贵了，所以就这么一直裸奔着。如果对比国内其他运营商的报价，在同等防护力度，流量清洗效率上，腾讯云的报价应该是最低的，奈何老板就是认为因为一个季度两三次的攻击就花费5万元是一种浪费，我们也是毫无办法。只能按要求给他想一下更省钱的方案。

以下精选靠谱方案中最靠谱的几个：

方案1：临时负载方案

当遇到DDOS攻击时，临时购买一个月限制带宽的ELB，然后DNS解析到新IP上。 再升级一下就是购买限制ELB，只对资源付费，日常不解析，就没有流量费用，再采用DNS检测的方法，切换解析；
优点：便宜，没有更便宜的方案了，实例租用一个月不到200. 流量按使用量付费就好了。
缺点：攻击者可以顺藤摸瓜ping出新的dns。或者直接对dns服务发起ddos攻击。
就是赌攻击者比较傻，老板十分满意，目前最钟意的方案。

方案2：多路解析方案

购买Dnspod最低版商业解析，1280元每年，分6路解析。解析到6路ELB上，也就是多了5路ELB，再加1000元/年、
优点：便宜，攻击一路，其它路还能保障还能提供服务。
缺点：只要同时攻击电信 联通 移动三路，就完全瘫痪了。
还在在赌攻击者比较傻，老板不太满意，优点小贵呢。

方案3：统一入口方案

单独购买一台8核16G腾讯云服务器器， 作为整套系统的入口和负载均衡，成本1200元/月。然后购买一个腾讯云最低版高防IP，绑定到入口服务器。高防IP可以每季度清洗10次峰值20GIP的ddos，超过则另外付钱。
优点：花小钱就能做到多IP常规防御。
缺点：不够稳定，入口放在一台服务器上不稳定。如果通过DNS来负载，那么购买专业版负载解析和多个高防IP又是老板承受不了的。
这方案不用赌攻击者的智商，但绝对是一个会坑死运维的方案。

方案4：突发境外清洗方案

境外的计算资源比较足，常常2000元/月就能买到30G-80G有效高防大母鸡了，利用这个特点，可以购买一台或多台境外服务器，配置到到境内闲置ELB的反代（即按流量付费，但平时不解析的ELB）， 在DNS中配置对常用ELB的检查，如果检查失败，则DNS会自动切换到境外服务器反代回境内，检查成功则会自动切换回来。
优点：钱不多，被动多少能起到流量清洗的效果；
缺点：可能会误报，误解析， 防御时境外反代境内，会让接口速度变慢。

总结：这些方案看起来巧妙，还是极不靠谱。但碰到一个抠逼老板，也是没办法的事。一次的攻击损失就在10万以上， 还不愿意花这些钱。