引言#

本站建站初使用 静态 架构就是防止别有用心之人进行DDoS

你想啊，一个静态网站，所有攻击流量都是打在 CDN的边缘节点 上，也就是等于攻打 整个CDN厂商

一是很难打死，二是没必要，毕竟静态网站的背后没有源站，也不涉及利益，纯粹是白打

正常来说，DDOS应该是针对单个IP的，因为正常来说，运营一个网站，肯定是需要买一台服务器，然后再在其上跑服务，最终一切准备就绪开放到公网中

如果说没有高防，并且没有CDN，市面上很多的免费DDOS就可以轻松将一个IP打死

但是，该网站情况非常不同，它是一个 由CDN直接应答的静态网站

也就是说，攻击该网站 = 攻击CDN

按往常来说，这几乎是不可能的

从宏观角度来思考，CDN是用来清洗流量的，清洗恶意流量，然后放行干净流量访问源站

但是如果是一个静态网站呢？

它根本就没有源站，每一个请求都被视为有效请求被CDN所应答

所以综上，如果有人打CDN，绝对是自讨苦吃，我也根本不需要管

但，真的是这样吗？

如果说攻击者的目的不是 打死CDN 呢？

那么事情就变得有趣起来了

第一次大规模攻击：6.65TB流量冲击#

以下记录于2025年12月16日，是本站遭受的第一次大规模DDoS攻击

于 2025年12月16号 11:13，我在和我的朋友测试项目的时候，有一个知识点他忘记了，我提议他前往我的博客查看，却被告知博客访问报 570 状态码

我立即使用 https://itdog.cn 测试了我的博客网站 https://acofork.com 发现大部分节点都为 570 状态码

因为当时我的网站部署在 EdgeOne

随后，我向腾讯客服求证，了解到该状态码是一个 单节点限频访问 的状态码

我的朋友甚至还在调侃说：你网站🔥了

但是事情貌似还有一些诡异，为什么海外都是 200 OK？

我开始怀疑被打了

可能玩静态久了，没有第一时间上到 EdgeOne 查看请求数和流量，想着都是静态，谁没事打呢

然后我就回家，暂时切了一下逻辑

• 之前：EdgeOne Pages 直接提供服务，但是570
• 现在：EdgeOne CDN 回源 Cloudflare Pages

切完后逐步好转，虽然速度有些慢，然后我就睡觉了

作死回马枪：又切回了ESA#

切到Cloudflare之后，攻击消停了一段时间，网站也恢复了正常访问

但是，我心里总有个疙瘩——我都有备案域名了，不用国内CDN是不是太憋屈了？

国内CDN对于国内访客来说，访问速度确实是顶级的。Cloudflare虽然防护能力强，但国内访问速度确实不如国内CDN

于是，在一番纠结之后，我做了一个”作死”的决定——又把网站切回了ESA（阿里云全站加速）

不过这次我学聪明了，配置了分流：国内访客使用国内IP访问会由ESA应答，而海外访问由CF应答。同时，我在ESA上配置了L7层的海外屏蔽——如果强制通过海外IP访问ESA，请求会被拦截

当时以为这样就能兼顾速度和防护了，但事情远没有这么简单

持续攻击：长达四个月的攻防战#

疑难解答#

至此还有非常多的内容没说，但是他们没法串在一起，就用QA的形式回答吧

• 为什么只有你被打？为什么我的网站没被打？

因为我是主播，被打了会有反应，很可爱

• 为什么要攻击一个静态网站？静态不是打不死吗？

的确，打静态网站 = 打CDN，但由于使用国内CDN，如EO/ESA，众所周知，国内的带宽非常金贵，并且EO/ESA还是免费提供服务的，防护力度自然没有国际大厂Cloudflare强力。通过上文也可知，攻击者的确可以 打死EO/ESA，使其在一段时间无法为你的网站提供服务。另一方面，如果我们不做任何防护措施，CDN平台就可能会认为我们在滥用资源，从而封禁/清退域名，使得我们后续实行补救措施更加困难

• 不是已经做了WAF（如海外屏蔽，速率限制等）吗？难道这些规则纯摆设吗？

要回答这个问题，我们首先需要知道WAF本来是防什么的。正常来说，一个网站应该是，源站脆弱，由CDN拦截大部分恶意请求，仅让正常请求流入源站。就好比你的源站有高清无码大片，你就可以写个速率限制，让单IP一秒只能请求一次，这样，恶意请求就拿不到你源站热情的高清无码大片，只能拿到CDN冰冷的拦截画面。但我们是静态，没有源站，或者说源站就是CDN。所有请求，有效或无效都是直接打到”源站”，也就是CDN上的，哪怕我们写了海外屏蔽，写了速率限制，这些也都是L7层的，攻击者仍然可以无限制的去在L4层建立TCP连接来促使CDN拒绝来自我们站点域名的服务。除非我们能够控制CDN的L4层WAF，并且设置严格的WAF规则，直接拒绝来自攻击者的TCP握手请求，才有可能逃脱最终被打死的宿命

• 为什么要切Cloudflare？不是说攻击者打的是CDN吗，Cloudflare就不会被打死吗？

Cloudflare曾抵御过高达 22.2Tbps 的攻击，对于攻击我们的流量来说，完全是小菜一碟，详见：https://x.com/Cloudflare/status/1970244046946759024，[Cloudflare 2025年第三季度DDoS威胁报告——包括僵尸网络的顶尖攻击者Aisuru](https://blog.cloudflare.com/ddos-threat-report-2025-q3/?utm_source=chatgpt.com/)

• 我也有网站，我要如何避免如此恐怖的DDOS攻击？

不让攻击者觉得打你有价值，打你好玩，你就不会被打（？）

所有攻击报表#

我们是最近刚切到Cloudflare的，在此之前我们使用的是EdgeOne/ESA

最终复盘#

经过这四个月的攻防战，总结出以下几点：

1. 免费的国内CDN并不抗打：就算写好WAF规则，CDN并不会清退你，但是在攻击期间网站仍会处于宕机状态。除非我们有L4权限，能在TCP握手层就丢掉攻击者的连接，否则L7层的WAF规则对于这种大规模分布式攻击效果有限。

2. 对于纯静态网站，防护薄弱的CDN风险很高：如果部署在防护薄弱的CDN，攻击者拉出大流量不仅会导致网站短时间宕机，长时间不处理还会被CDN清退。

3. 此种攻击级别史无前例，目前解决方案就是切换为Cloudflare CDN：因为Cloudflare体量足够大，能够抗住如此大的DDoS攻击，并保证SLA。Cloudflare曾抵御过22.2Tbps的攻击，对于这种规模的攻击完全不在话下。

4. 读者几乎不用担心自己的网站会被攻击：此种规模的攻击明显是有组织、针对性的，攻击成本很高，几乎不可能用来泛攻击。普通网站根本没有被攻击的价值，除非你像笔者一样被”盯上”了。