網站遭遇 CC（應用層 HTTP Flood）攻擊時，除了單純封 IP，還有一系列更可靠、更可擴展的防護手段。首先，把網站放到CDN/邊緣節點前端可以吸收與緩存大量流量，減輕源站壓力；同時配合 Web Application Firewall（WAF）進行特征與行為檢測，能夠對異常請求做速率限制、挑戰/驗證碼或直接丟棄。

其次，限流與連接控制很關鍵：對不同接口（頁面、API、登錄口）設置分級速率限制和并發連接上限，使用SYN cookies / TCP SYN 代理可防止連接耗盡類攻擊。對可緩存內容盡量用緩存、將動態處理最小化，減少每個請求對后端的計算消耗。

AWS 文檔

再來是挑戰-響應機制（CAPTCHA / JS Challenge/cookie驗證）：針對疑似機器人流量彈出輕量挑戰，既能阻斷自動化請求，又盡量不影響真實用戶體驗；此策略通常由WAF或CDN提供。配合基于信譽的IP黑名單/白名單和地理訪問限制（僅允許目標國家/地區）可進一步減少噪聲流量。

AWS 文檔

對于大流量或復雜攻擊，建議使用流量清洗/托管防護服務（scrubbing / DDoS mitigation provider）或Anycast+彈性擴容的云防護（將流量分散到多個區域并在清洗節點處理惡意流量），并與上游ISP協作，必要時做黑洞路由/流量轉移，避免核心鏈路被壓垮。

最后別忘了：監控與預案很重要——建立流量基線、配置告警、制定應急響應流程并定期演練；同時保持軟件與依賴更新、優化后端性能，減少被“偽裝成正常用戶”的流量拖垮的風險。

SecurityScorecard

快速清單（實操建議）：

部署CDN + WAF（開啟速率限制與 JS Challenge）；

對重要接口做分級限流與并發限制；

啟用SYN cookies/TCP代理防止連接耗盡；

使用流量清洗/Anycast與上游ISP協作應急；

建立監控、告警與應急演練流程。