域名做CDN来通过隐藏服务器真实IP的方法来防止DDoS攻击（转）

隐藏服务器真实IP是解决问题最好和最快的方法，但只针对小流量，大流量同样会扛不住。

服务器前端加CDN中转，比如阿里云、百度云加速、360网站卫士、加速乐、安全宝等，如果资金充裕的话，可以购买高防的盾机，用于隐藏服务器真实IP，域名解析使用CDN的IP，所有解析的子域名都使用CDN的IP地址。此外，服务器上部署的其他域名也不能使用真实IP解析，全部都使用CDN来解析。

另外防止服务器对外传送信息泄漏IP，最常见的是，服务器不使用发送邮件功能，如果非要发送邮件，可以通过第三方代理(例如sendcloud)发送，这样对外显示的IP是代理的IP。

只要服务器的真实IP不泄露，10G以下小流量DDoS的预防花不了多少钱，免费的CDN就可以应付得了。如果攻击流量超过20G，那么免费的CDN可能就顶不住了，需要购买一个高防的盾机来应付了，而服务器的真实IP同样需要隐藏。

总结：

1、无论什么时候都要隐藏真实IP

2、购买CDN来抗DDoS不一定全程抗住，比较运营商会果断的屏蔽你的域名

3、DDoS是一个长久对抗的话题，尤其是应对大流量的攻击更是需要时间来磨，防守同样需要大量的资金注入，比如流量需要钱，盾机需要钱等等，主要看业务的损失来衡量需不需要投入大量的金钱去维护了。

4、以上观点只是从个人角度出发，不太准确。

参考：

http://www.5636.com/netbar/wupan/4805.html（以上内容部分转自此篇文章）

https://jingyan.baidu.com/article/a378c960b0ad30b3282830e8.html