网站日常运营-瑾年-JinNianX-科技漫步

TIPS

这篇文章是我自己运维网站的经验总结记录，并不是教程，有的东西写的很冗余重复，不按顺序，也可能有小错误，因为是自己想到什么学到什么就写什么，也没有图去辅助教学，这也不是全部，很多东西在脑海中和写在其他地方，或者不方便展示，如果大家有疑问，联系问我即可

域名

域名购买

1-购买可以去没买过东西的新平台去注册，一般com老用户七八十，新平台去注册就三十多，国内云厂商多了，都可以白嫖新用户。

2-续费可以转出域名，转出域名必须在新平台续费一年，但是这个续费一般比较便宜几块钱

3-国外的域名厂商有不赚钱的平台买域名，国内一般都加价一部分，比如域名管理局可能是说60一年，国内加到85一年

4-https://www.nazhumi.com/域名价格

5-杂后缀域名，在注册的时候有优惠，如果确定要用，建议直接十年，否则后面续费贵

6-如果你要成立一个品牌或者公司，要像注册商标一样，提前抢注你心仪的域名，否则就得出高价从他人那里购买。

7-如果心仪域名已经在别人手里，又不想出高价购买，可以看此域名主人会不会到期不续费，在此域名过期30天的时候，可以提前去西部数码或阿里云等平台预约抢注。不同域名具体时间：https://help.aliyun.com/zh/dws/user-guide/redeem-a-domain-name

域名到期——-30天内正常续费——–》高价赎回期———cn14天赎回期，com30天赎回期———–》删除期（无法再续费赎回了）——》重新开发注册（删除期中可能随时删除面向公众重新开发）

想去万物竞争的，域名过期30天后的赎回期，就可以去竞价抢注，如果域名持有者没有高价赎回（.cn域名的高价赎回价格通常为1200元人民币），域名就是你的了。（阿里云万网）

没人竞价且持有者未赎回，就是删除期后，重新开发注册；有人竞价，原持有者没赎回，就直接不进入删除期，直接给竞价成功者了

竞价一般是域名注册服务商那里举行，是在域名高价赎回期就开始，但是抢注是很多平台都有，是等域名进入删除期，随时删除后进行抢注。

域名是由国际组织ICANN定义，分配和管理的，最初属于美国的资产及管理权，后来在各国的反响下独立出来一个国际组织，中立的非盈利性机构专门来策划、分配、管理互联网。因此，所有域名均由ICANN负责管理和分配，但国家地区类域名，如我们国家的CN后缀，一般都是ICANN授权当地机构进行统一管理和分配。

2015年初，360公司以1亿人民币的价格从美国运营商Vodafone手中买下了360.com这个国际顶级域名，创造了当时全球域名交易的纪录。

2014年4月，小米公司以360万美元（约合人民币2240万）的价格购得了mi.com这个域名，成为当年中国交易最高的域名。

2014年，京东公司以3000万美元（约合人民币1.95亿元）的价格购买了jd.com这个两字母短域名。在此之前，京东一直使用360buy.com这个与其品牌无关且容易与360公司混淆的域名。jd.com不仅简洁明了，也提升了京东公司的品牌价值和流量效率。

X.com是一个非常有价值的单字母域名，它曾经属于马斯克的第一家创业公司X.com，后来被Paypal收购。2017年，马斯克以高价从Paypal手中买回了这个域名，但是一直没有启用。最近，马斯克把twitter.com换成了X.com。

8-正常注册的COM域名，在2023年，每年费用为70左右。当我的网站知名度上升后，续费域名会涨价吗？

域名价格标准是域名注册局规定的，各大平台如腾讯，阿里，godaddy只是帮你”代注册”，价格浮动与域名注册局标准价格相差不大。

因为你的域名实际上是从域名管理局买的，不是从代理商那里买的，管理局有费用标准不会乱涨价。

所以即使代理商涨价，换个代理商平台即可。

所以也不会存在域名知名度高后，续费价格上涨的问题，不然全乱套了。平时涨价也是所有域名稍作调整，最多贵个十多块钱。

9-那些杂后缀域名尽量不要买，比如fun。icu。等后缀的域名，它第一年很便宜，十多块甚至几块钱，但是第二年续费就得七八十。

1-如果你必须要买，尽量多买几年，以为买的时候一般多买几年有优惠，比如现在fun后缀十年只要188，如果你买一年10快，第二年续费就得70

2-cloudflare续费域名是最便宜的，以为他们是成本价买，不赚差价。（先在cf添加网站，把dns改成cf的，然后再点菜单栏的域名转移就可以看到吧域名转入cf）

3-如果你是看重域名的名字，只有垃圾后缀，然后必须续费，你可以放弃这个后缀，看看有没有其他垃圾后缀平替。或者如果域名没在使用，而且这域名没人和你枪，那就等它过期了再重新买，就不是续费的70了，又是10块。

4-转入域名到其他平台确实会便宜一点点，但是也最多便宜几块十多块，这种杂后缀域名每个平台注册虽然都是10块左右，但是你从一个平台转入到另一个平台，还是算续费价格70左右的，而不是算注册价格，所以域名转入对这种杂域名的续费，便宜不了（它这种域名就是靠第一年便宜，骗你注册）

西部数码等平台有时有域名转入活动，那也是争对cn和com域名，五折转入等也是有限制，转入后几年内不能转出。

总而言之：域名所在平台的续费活动和把域名转入其他平台，都省不了几块十多块一年，没必要在意。

还有我们不要买杂后缀域名，第一年便宜，第二年续费很贵，要买就一次买很多年，优惠点。如果已经买了一年，那可以考虑放弃当前后缀，去选用其他后缀，或者等过期了重新注册。

10-域名过期时间段

过期后，三十天宽限期内，原价续费；三十天高价赎回期，高价续费（cn是15天）；三十天删除期，用户已经无法续费，只能等三十天后域名被删除，重新开放注册。 平台会在域名进入高价赎回期的时候，开启此域名的预释放预定和竞价

宽限期（原持有者可正常续费），高价赎回期（原持有者需要高价赎回），删除期（随时删除，持有者不能再赎回），具体时间段不同平台可能不同，根据域名不同时间也不同，政策也可能改变，真的想要就去各个抢注平台盯着申请抢注，然后在域名当前注册平台好像成功率大一些。直接去问客服具体时间。

11-基本cf域名最便宜，因为不赚钱，需要先添加域名，然后续费

12-域名转出一般会便宜一丢丢，比如com续费是90，转入可能只要80，看转入平台情况。闲鱼上有阿里云和腾讯云的七折续费的，一般腾讯比阿里云便宜一折，或者各大新互联网域名平台，注册com是五六十，但是这种不能续费场景，只能是新注册。

13-小国家域名，小注册局可能给你乱涨价，乱扣你域名，强制说你的业务有问题断你解析。大国不会，然后如果你的业务敏感，你还得找不吃投诉的大国域名商。

网站备案

问题

1-网站为什么要icp备案？

备案是国际工信部互联网安全等机构指定的，为了防止一些人用网站进行非法活动，当网站备案后，就能找到相关负责人。

域名绑定国内服务器都需要进行域名备案后，服务器才能使用，这是国家要求所有国内服务器厂商做的限制。（否则有人非法活动，又是国内服务器厂商提供的服务，厂商就要担责，所以厂商需要确定你的网站已经备案，这样就是备案人担责）

如果你用国外服务器或者香港服务器，国外服务器厂商不受我国要求限制，就不需要备案即可将服务器绑定域名。（国内有可能将此服务器IP拉入黑名单，导致国内用户无法访问，所以一般买香港的）

TIP1：当域名不再使用，需要及时去注销备案。因为管局不会每天去审核谁的网站还有没有运营，只会定期抽查，如果你的域名到期后被别人注册，进行了非法活动，那么出事了，备案人还是你。

TIP2：COM域名你去godaddy等平台都不需要实名认证就可以购买和解析，但是CN域名就算是在国外平台注册也得实名认证的。

TIP3：其实国内服务器还可以绕备案，教程百度即可，但是一个规矩是不允许的，你去钻漏洞即使成功了，也是违规的，后续使用也很容易遇到问题，不如买个香港云。

TIP4：如果你是国内服务器，要icp备案，用的哪个平台的服务器就去哪个平台备案，和域名所在平台没关系。

TIP5：icp备案是不分交互式的（公安备案才分交互式），但是分个人备案和企业备案，个人备案是不能盈利的，大部分省份也是不允许交互的（如用户注册登入和发评论）。（走香港云自然就不需要icp备案了，但还是需要公安备）

TIP6：公安备案的交互式，基本上需要线下去网安大队审核，非交互式一般线上就行了。（其实没那么多人管这些，别说申请交互式了，很多人根本没有公安备案，照样开评论等交互式功能，都没事，不过想要网站长期运营，还是按流程来比较好。也看你对业务的把控，你是正能量的东西没有公安备一般也不会处罚你，最多叫你注意然后完善备案。否则还是避免用cn域名，选择用com等域名，走香港云或者国外服务器，根本不需要备案，怎么盈利那就看你自己了）

TIP7：无论是icp管局备还是公安备案，备案地址一般选主体（你自己）身份证上的地址，因为大部分省份只受理本地备案或者有当地居住证的人才可以。

TIP8：cn域名也可以用境外服务器的。但是用境外服务器虽然不用icp备案，但是没有这个备案的网站，搜索引擎的SEO对其一般不友好。

TIP9:域名icp备案的时候，网站名称记得想好，后续网站title必须包含备案网站名称（一般也没人管，但是后续同一个主体增加备案的时候，会审核以往所有网站，这个时候以往备案的网站title必须包含当初备案时网站名称）

icp备案后，会提醒一个月内继续公安备，但是公安备基本没人查，有时年把的，网安大队的上面可能才下发所有域名名单给你当地网安大队，工作人员就一个一个核实，没备案的就给你打电话，你这个时候再备案就行。当然提前备案好最佳

总而言之言而总之，有两个备案

icp管局备案：你用国内服务器就必须要备案，用国外服务器就不需要备案。然后个人备案的icp管局备案大部分省份不允许网站进行交互（注册登入和评论等操作）

公安备案：无论用不用国内服务器都要求备案，要求是开站icp备案下来30天内进行公安备案，否则可以给予警告或关站整改。但是不严，大部分网站没有公安备案过。在这里申请交互式基本上也需要线下。

两个备案互不联系职能不同：如果管局备案是个人备案，理论是不允许交互的，然而公安备案我申请交互式又通过了，但如果我的网站交互，被管局发现，即使公安备案了交互式，也和管局不相干，可能也会警告要求取消交互。

用海外服务器：不需要管局备案，但同样要进行公安备案，但上文说了，要求不严格，很多人没备案过。看个人吧，比如你godday注册的com域名，又是海外服务器，都无法判断你是国内站点，你是否公安备就看自觉性了。cn域名的话，找你了再备案呗。

看似很繁琐，其实也没那么离谱，只要你不是h，d，d和骗人，提供一些服务，按不了你的head，最多整改罚款。

2-如何icp备案？

企业备案需要营业执照，法人身份证信息等，在企业地址拍视频核验，具体问备案平台即可。

个人备案：在腾讯云平台，填入自己的信息，身份证照片，人脸识别验证，根据要求填入网站相关信息即可。

注意：腾讯云备案页面附件需要提交一份网站建设计划书（图片），还需要本人电子签名（涂鸦前上去就行，或者打印出来拍照）；此外还需要把网站建设计划书（word或pdf)通过邮箱发给管局。

注意：一定要备注准确方案书通过邮箱发送给管局的时间，不然管局找不到邮件，就会说你没发网站建设书，白等一个月，备案失败又得重新提交建设书再重新审核。

如果不急，有细节错误都没关系，直接提交备案即可，有问题腾讯人员会打电话给你辅助备案（一天内就会打电话，效率挺高的），腾讯审核通过后才会提交管局审核。

如下word模板：仅供参考，根据你的网站内容简单书写即可。

*新增网站组网方案与解释说明*

一、 *网站服务内容介绍*

当前域名jinnianx.com是具有做信息存放与技术分享等功能。

1、内容介绍：

网站当前主要记录生活与分享资讯的个人网站；用户通过浏览器打开jinnianx.com,可以访问到我的网站，可以按照自己的需求选择对应的栏目，再选择需要打开的链接。

2、域名用途：

jinnianx.com方便用户找寻网站，可以直接打开浏览器，输入我的网址就可以打开我的网站了。

二、 *组网方案*

服务器基础设备配置：

腾讯云轻量应用服务器/ 空间：80G / CPU：4核/ 内存：4G

服务器使用技术及部署情况：

服务器系统程序：CentOS 64位(安全加固)

WEB服务器程序：NGINX + MySQL

*三、网络安全与信息安全管理制度*

(1)负责服务器的日常维护、技术支持，并对服务器的功能提出意见、建议和方案等。

(2)妥善保管好服务器登录密码，不得告诉他人，有事外出或下班时，要及时退出设置项界面。

(3)加强服务器检查。定期对数据存放硬盘空间、CPU使用、内存空间等环境进行检查。发现硬盘存储

空间、CPU异常、内存异常等问题要及时处理，不能及时处理时应向空间商反映，并积极采取措施尽快解

决。

(4)加强服务器的病毒防范。要经常了解和掌握网络病毒的流行情况及其解决方案，并积极采取应对措施。

施，避免对服务器及网络内其它终端的感染。一旦被感染，要及时提出杀毒方案，控制传播范围。定期对

各服务器进行查毒、杀毒。

(5)保障本系统的实时安全运行，负责每天的信息数据备份。

(6)负责对服务器中文件的增加、删除及权限变更工作，严禁无关人员登录服务器。

*四、承诺*

承诺如发现主体信息有误、网站实际开办内容与备案信息不一致、域名有交易行为、网站内容涉及九不准等违法违规问题，接受接入服务商关闭网站、主管部门注销备案并列入黑名单的处罚

​ （这里写个电子签名或者手写签名）

​ 日期：2088年8月8日

​ 网站负责人：zdq

3-网站更换服务器，需要重新icp备案吗？

国内域名更换服务器，是同平台服务器，如域名和服务器都是腾讯旗下购买的，更换备案信息的服务器ip即可，不需要重新备案;（因为你其实已经备案了，就换个服务器ip，后续腾讯提交一下新ip信息给管局即可）

更换为另一个平台服务器如阿里云，也不需要重新备案，进行接入备案即可，然后阿里云平台会将修改后的备案信息提交给管局一次，让管局也知道服务器IP变了，服务器提供商变了。（让新的服务器提供商知道你的域名备案了，然后平台再向管局更新信息）

4-网站在管局icp备案通过后，按理说需要在一个月内进行公安备案（审核一般3-5天），不过这玩意说是一个月内需要公安备案，但是很多站点都没备案的，应该不强制，当然和当地政策有关，但是没接到当地网警大队电话的话，可以先不管。

公安备案在信息变更后，如服务器IP变更等，最好也尽早在公安备平台进行信息更新。

tips：

我们公安备案的一般是非交互式，也就是没有用户的注册登入的，如果要有让大众注册登入的交互功能，备案就需要选交互式。（icp备案是不分交互式的，但是icp个人备案大部分省份默认也是不能交互的，也就是不能让用户注册和发评论等操作）

区别：

非交互式：如上内容线上申请一下，等工信局通过就行了。

交互式：不同地区可能不同，大部分地方线上申请后还需要线下面审，但基本上就是确定主体人，然后和你说一些注意事项。（个人为主体就去户籍所在地精确到县，公司为主体就去公司注册地）

5-备案服务器ip变更了怎么办。

某些情况，当备案的ip和实际网站使用的IP不同（比如自己的备案厂商的服务器过期，然后用了朋友的服务器，或者其他小厂的服务器），服务商可能会发现，并打电话给我们。

我们可以说网站使用了cdn，源服务器还是用的原先备案平台的（如原先服务器是腾讯云，即备案也肯定在腾讯云）即可，一般就没事了。

如果他还要你提供源服务器ip，你报你的源服务器即可，如果原先的服务器过期了，你报一个同平台的服务器就行了（因为同平台换服务器，服务器变更不强制修改备案ip信息）。如果原服务器又过期，你在平台又没有服务器资源，那就只能买个原服务器厂商的便宜的能备案的服务（函数包或者最便宜的服务器），然后用此服务挂载一个网站的子域名的单页即可（前缀单页，比如让a.xxx.com解析到一个页面即可，也可以放一些源站文件到这个不用的服务器伪装一下），然后把ip报给他。实际上你还是用的服务商平台外的服务器为网站提供服务。（实际上可能单页都不用挂，因为腾讯云没权利知道我们服务器的内容，自然不知道有没有真实用那个服务器，我们只需要说用了cdn，然后有一个腾讯云服务器在运行，没有过期就行了，报那个服务器ip即可）

注意：千万不要买备案服务商外的服务器（因为服务器在哪，你就得在哪备案，你腾讯云备案的，后续ip换成阿里云的，就要在阿里云接入原先腾讯云的备案，麻烦一点，如果你再买个腾讯云的便宜服务器，挂个单页就行，什么都不用管了）。

情况一：在腾讯云备案后，自己服务器过期了，用了腾讯云之外服务器，如果有人打电话过来，直接说网站挂了cdn，所以ip显示和备案不同，如果继续问：“你服务器都过期了？怎么提供服务的？”，那没办法只能报朋友的腾讯云服务器ip（或者自己买个腾讯云最垃圾的服务器挂个单页，报这个ip）即可。

情况二：在腾讯云备案后，自己备案对应的服务器没有过期，但是性能不够用，用了小厂服务器或者朋友服务器，那只要在原备案对应服务器挂个网站的单页即可，实际服务放到其他服务器。打电话来问，就说服务商外的服务器ip都是cdn，源服务器报自己那个和备案对应的服务器ip即可。

总结：如果你有多个站点，然而备案只有腾讯云和阿里云这些大厂方便，而备案只能在服务器购买商那里备案，那么这么多站点服务，都用大厂的服务器，谁用的起？所以可以只开一个服务器（这一个是必须的，不能一个都不开，服务器都没有，怎么备案的？很明显就不符合规定了，会被撤销备案），每个域名备案都和这个服务器绑定，然后在这个服务器中运行一个和域名相关的单页就行了，不需要让这个备案服务器去做真正的服务处理。真正的处理交给那些便宜的小厂服务器。

实际上单页操作，服务商要查你，完全可以通过流量和你实际网站的运营情况判断出，你只是挂了一个单页，没有真正提供服务的，但是他们不会去管。

更换ip是否需要重新备案或者修改备案信息？

一、 更换服务商
当您的服务器从其他服务商更换为腾讯云时，您需要在腾讯云申请ICP接入备案，反之则需在对应服务商进行ICP接入备案。

二、未更换服务商
当您从腾讯云服务器更换为另一个腾讯云服务器时，ICP备案有无影响取决于是否需要做经营性备案。

1. 需要做经营性备案：要进行变更备案，更改备案登记的IP地址，确保经营性备案的IP与工信部登记IP一致。
2. 不需要经营性备案：可以不变更备案，因为同一接入商更换IP不强制重新备案，可在需要变更其他信息的时候同时进行变更，无需单独变更。

其余一些小知识：

1-如你在腾讯云备案，你后后面换了阿里云的服务器当源站，阿里云会要求你接入备案的，否则服务器不给你提供服务，你阿里云接入备案后，腾讯云打电话给你问服务器过期了，你可以直接说用阿里云服务了。

小厂服务器可能没这要求，只要你原先备案过就行。但是这个时候，腾讯云打电话给你，说你服务器过期了，你还是得想办法维持在腾讯云的备案，比如买个轻量云挂单页，把小厂服务器说成cdn服务。

2-接入备案和申请备案一样，都要审核5-15天，但是域名首次申请是不能开站点，接入备案是必须开启站点访问。

3-操作个人备案一个域名，会审核以往备案号下所有域名是否符合要求

4-个人备案，比如你有10个网站，其实备案号一样的，只是后面有1，2，3，4.等序号区别，注销某个网站个人备案，只会注销一个网站，不会10个全部注销。

5-你的个人备案网站，一般开个文章评论是没人管的，但是如果开了论坛，可能备案接入商（腾讯阿里云等）会打电话给你，你就得取消论坛交互。你可以尝试关了，审核完再打开，但是接入商查到一般就会再次通知你，他们也不是就查一次，长期运营还得是企业备案，或者你不用国内服务器。

更严重的是管局查到，那就不是接入商提醒你叫你取消交互了，而是可能直接拉黑主体（个人备案主体就是备案人），但是管局一般不查。

个人网站查到经营行为也是一样的，接入商提醒后，你把涉及充值的部分去除就行了，但是仍然可以有会员，但是只能积分兑换会员这种形式。你也可以关了充值再打开，但是和上述一样，不是只查一次，管局查到会拉黑的。

实际上你个人备案网站，开了论坛和交互，接入商基本是不管的，但是不能有收费的经营行为，你网站积分换会员可以，但是要花钱买会员不行。

6-备案会审核备案主体所有之前的备案网站是否合规

7-个人备案转企业备案

个人备案转企业备案，必须先注销个人备案再进行企业备案，备案期间网站不能访问。

个人备案期间网站不能访问，但是可以尝试规避可以不开www和主域名@访问就行，子域名他们备案审核可能查不到，但是被查到会退回，然后要重新备案的，可以提前提醒用户服务暂时转移到另一个网站。

如果是企业备案的话，尽量老老实实关站等审核通过，被查到有解析会直接退回，没冒风险的必要，用户多你可以开一个其他网站顶着，用户少就关站就行了。（备案可以加急等，有几天的，也有七天半个月的，看地区决定，一般一周）

8-可以用别人账户内的服务器给我的域名备案吗？

2025-07-11 15:43
我的企业域名需要备案，我可以用其他人腾讯云里的服务器备案吗
2025-07-11 15:44
您好，非常荣幸为您服务，我先看一下您的问题，请您稍等。
2025-07-11 15:44
只有企业账号的服务器可以生成备案授权码给其他账号备案使用
2025-07-11 15:44
个人账号购买的服务器只能用于本账号使用
2025-07-11 15:45
就是比如我现在有一个腾讯云账户，里面有域名，我要企业备案这个域名，但是我的账户没有服务器，我备案的时候，能不能填别人的腾讯云服务器ip，我也实际上是用那个服务器搭建服务
2025-07-11 15:45
只是我拥有域名这个账户，不买服务器
2025-07-11 15:47
那请问服务器是个人实名账号下的还是企业实名的账号下的呢
2025-07-11 15:48
服务器在个人实名下，域名在企业实名下，企业实名下要备案域名
2025-07-11 15:48
我就是用企业实名账户备案企业域名，然后填ip服务器的时候，填那个个人账户的服务器ip
2025-07-11 15:48
是不可以的，您填写后会报错
2025-07-11 15:48
必须企业实名账户下有服务器吗
2025-07-11 15:50
是的，只有企业账号下的服务器可以给其他账号生成备案授权码，个人账号服务器只能给其当前账号备案
2025-07-11 15:52
企业账户给其他账户生成的备案授权码，是可以给其他账户个人备案，还是说给其他账户备案后，其他账户的备案主体也是该企业？
2025-07-11 15:53
是可以给其他账户个人备案的

也就是说个人账户下的服务器，只能给当前账户下的域名备案。

企业账户下的服务器，可以生成备案码，给其他人进行个人备案

9-个人账户买一个云服务器或者轻量云，都只能给五个域名备案

10-企业账户，云服务器可以给10个域名备案（云服务器能生成五个备案授权码，并且本身也能备案五次，所以可以备案十个域名），轻量是给7个域名备案（企业账号的轻量服务器本身能备案五次，能生成两个备案授权码，所以可以备案七次）。

一个备案码只能备案一个域名

备案授权码是企业账号下购买的服务器生成的用于给其他账号备案的,并不支持直接交易,备案一次就行了，后续不查就没事，查就是一样的规则

备案后业务可以解析到任意平台服务器ip的（其实你在腾讯云备案后，他一般不会去审核你到底有没有腾讯云的服务器，万一打电话了你说cdn就行了，然后说源站在腾讯就行，它也不会让你给出源站是腾讯的证据，万一出现这种情况，去买一个腾讯轻量云就行了（实际上不会要求你的服务在腾讯云上的证据，只要你的域名能打开就行了，只是严格来说你必须域名是在腾讯云的服务器等服务上才能维持备案，如果你的源站不是腾讯云，这个腾讯云的备案就没必要存在了，腾讯云就会吊销。

实际上阿里腾讯一直都可以不买服务器保备案啊。 用cdn或者对象存储搭建静态page就行了。现在有免费edgeone了，更方便了，反正你的域名能打开就行，就算不是腾讯云的服务器，你也可以说是用了cdn导致的，严格来说需要有一个腾讯云的服务器在服务就行了）,所以自己机器过期了，一般新账号返现最多，折扣最多，可以自己用亲戚朋友的号撸活动买机器，）

这里也冗余了，简单说，你的服务器实际用的不知名小厂，然后腾讯云备案的，腾讯云发现你的ip不在腾讯云，就会打电话给你，问你为什么ip不是腾讯云的，你直接说用了cdn就行了，实际源站是在腾讯云的。他可能进一步问你，源站ip是多少，你报你腾讯云平台下的某个轻量云就行了（这里有一个情况我没遇到过，如果你备案账号下没有腾讯轻量云，能不能随便报个腾讯ip，不知道行不行。）

上述说用eopage搭建，维持备案，只是说核查人员看到ip是eopage的ip，也算是腾讯ip，大概率不会打电话来核查你，如果打电话了，你一样需要报一个腾讯云服务器ip，而不是cdn节点ip，因为他们后台是能查的。

11-是否可以存在多个平台备案？答案是可以

比如你在腾讯云备案后，一样可以继续在阿里云备案，不过在阿里云备案就相当于是接入备案，而不是一个全新备案

有两个备案，你源站就既能用腾讯云服务器，也能用阿里云服务器

国家对大厂要求是，必须接入对应平台备案，才能使用对应平台服务器


腾讯云阿里云双备案是能两家服务器都能使用，但需要保证至少一条解析到腾讯云和阿里云，比如你只接入了阿里云，没接入腾讯云的情况，你不需要在腾讯云开展业务，自然无需保留腾讯云备案信息，因为这一条：
如果你接入了双备案，没有用某一方服务器，那么平台就会打电话问你，你如果没使用它们平台服务器，它们就会给你注销备案，这也是上一点中，打电话核查的原因，解决方法就是说用了cdn，然后说本质源站用了它们平台的服务器，然后提供一个他们平台的服务器ip报给他

对小厂的要求是，有在大厂的备案即可

12-如果你有阿里云的备案，不需要腾讯云的备案了，可以取下腾讯云备案的接入，注意是取消接入，不是注销备案，取消接入腾讯只是取消腾讯云备案，注销域名备案是全网这个域名的所有备案都取消了。

备案只存在于管局
从腾讯云这里提交首次备案是从腾讯云这个接入商提交到管局备案
备案审核通过，信息在管局存在
此时您使用其他云服务商继续使用该域名接入备案
也是提交到管局，只不过和首次备案区别是在管局对原有备案信息增加其他的服务商作为您的接入商
在两个平台备案，并不是重复提交备案，实际上是第二次接入备案只是在原备案基础上操作增加接入商

13-域名如果只有cf的节点ip，没一个国内的，可能直接被取消备案，根本不打电话给你，也不会给你机会说上述说是用了cdn，本质用了国内平台源服务器。这是行规，你就算用了cdn，起码也得是国内ip

14-子域名不需要再备案

15-腾讯云的域名和备案，在qq和微信上可能没那么容易被拦截，有传说中的白名单。

16-不备案的网站，很影响seo，搜索引擎搜索不到

17-网站后续title可以不等于，但是必须包含备案时名字，所以备案的时候，名字不要乱填，越少越好

18-在用服务器的时候，平台会识别提供服务的域名有没有备案，没有备案就会终止

高防服务器和高防CDN等价格

无论是服务器，cdn等等，都要找源头，那些b代理黑的很，两百的成本卖1000的比比皆是

其实基本上没人攻击你的网站，很多做的有那么大的企业面向大众的服务都没防御。

大部分卖服务器的是源头机房的代理。（机房厂家一般是卖ip和带宽和防御和管理服务器服务的，他们也卖自己的服务器）

比如雨云和亚洲云，就是自己买服务器给机房管理，也可能对接租了一些机房的服务器等等，然后集成起来。

大代理：他们也算是有规模的平台，有自己的服务器，然后把服务器放到机房，叫机房帮忙管理，而且对接了很多个不同的机房。（自己的服务器，成本大，风险高，但是最实惠）

小代理idc：就是买个魔方或者v10（相当于卖服务器idc的网站源码，一般买个魔方普惠版几百块），然后对接各种机房的机子（自己没有服务器，不需要担心卖不出去），然后集成到自己的idc网站，当机房代理也有门槛，比如你和他很熟悉，或者代理分等级预存1万2万3万，就可以拿到不同程度的折扣。（比如讯飞和西信就是专做湖北十堰物理机的机房厂商），根据不同等级，可以4-6折拿货。甚至2-3折，前提你预存多。

不能瞎买，很多小学生买个魔方，就对接，然后卖了，没有保障，买代理云必须认识的靠谱的，或者买中厂比如快快。

小小代理：因为没钱预存，所以就可以当厂商代理的代理，代理预存低（几k），或者根本不需要预存，但是折扣没对接机房厂商那么高，相当于赚个差价，比如上级代理充了3w，然后能4折拿货，然后我们充2k就能从他这5折拿货（5折去对接飞讯需要充2w）。

直接对接讯飞这种源头厂商，因为他们买了相应idc操作系统服务，我们自己魔方下面的idc用户可以直接操作防火墙，但是如果是当代理的代理，可能没买idc操作系统服务等，我们可以操作防火墙，但是我们的用户无法操作，需要私信我们。

买服务器也分很多种，比如有的带宽有优化线路就贵一点，有的相同配置相同价格，但是分为小带宽和大带宽，小带宽无限流量，大带宽按流量包计费。而且带宽你还得看是共享带宽还是独享带宽。

讯飞专门做湖北十堰物理机，香港云等其他地区的服务器就得去找香港的机房厂商才划算。

买服务器记得看cpu型号，不要只看几核几g的内存。不同型号天差地别，还得看地区和线路，比如bgp线路（用户不管是移动电信联通网都能快速访问，不是bgp带宽的服务器，不同网络用户可能访问慢一点）又贵很多，

总结：你看到的所有idc云服务，基本上打个3-6折买才是最优的价格，高防cdn什么的折扣也差不多。一般scdn套餐都是99一个月的就很好够用了，找他们给个代理价五六十。

有的cdn还有什么蜜罐，什么ai防御什么的，贵得很，基本坑钱用不到。

我们买服务器的时候，找到对应厂家机房源头，相同机器情况下，看他们的代理价格，然后再对比我们所在购买平台的价格，如果我们有当代理的路子，肯定自己拿代理价格最便宜，如果没有路子，或者当代理需要付出的代价高于通过代理价节省的钱，那就选择一个性价比最高的平台地方买就行了。

备案问题：

讯飞等机房不会叫我们备案，我们原先在腾讯云和阿里云什么的有备案就行了，腾讯云那边问ip解析为什么不是他们那边服务器，我们就说是cdn。

tips:

1-买国内这些高防服务器，你会发现，还有一个禁海外封udp选项的服务器，比普通高防贵很多，他这个封海外不是我们服务器的禁止海外IP和nginx防火墙什么的禁止海外IP，它是在线路上就禁了，一般没什么必要，因为我们服务器的防火墙禁海外也够用了。

区别：服务商的禁海外封udp选项，是在线路网络层上就禁止了，而我们的服务器禁，流量还是到达我们服务器了，虽然禁了，但是你配置不当，可能还是有一些性能影响，但是影响不大。买网络层服务商的禁海外性价比很低。

物理层（硬件双绞线、光纤）—–链路层（以太网协议，网卡，数据帧）—-网络层（ip）—-传输层（tcp、udp）—–应用层（http）

2-枣庄和十堰都是高防，实际上用了cdn也没必要上高防服务器

3-十堰600g是群防，那个价格不可能单防，而且十堰晚上网络不好

4-小厂cdn一般是不支持加速视频的，提前问清楚，但是按照流量计费的是可以的，不支持加速视频一般是那种无限流量，限制带宽的cdn。反正具体问清楚吧。

5-买小厂服务器，域名还需要去联系客服过白的，否则这个服务器不能为这个域名服务

6-实际，做好业务量的评估和架构，能省很多钱，有时候买了没用到，带宽流量差价很大很贵的

7-ovh是一个高防国外知名厂商

8-大厂阿里腾讯3-7折，华为金山最低1折打底，没事顺手问问售前，有什么活动可以参加，可以领余额

9-如何看对方用的什么cdn？

1-直接itdog，ping出来有显示
2-看网站请求的响应头，有的cdn在响应头中加了数据
3-nslookup www.example.com直接看，nslookup是看对方网站dns解析的命令

10-海外服务器如何买好的线路

买海外，得看三网直连，不绕路，三网直：你在北京电信、上海联通、广州移动ping你的服务器，延迟都很低（比如20~40ms），路由都直接进中国骨干网。
非三网直：有的线路会绕到香港、美国、日韩再回来，延迟高达100ms甚至更高。

路由的本质
当你访问一个网站或服务器时，数据包会经过很多中间设备（路由器、交换机、运营商骨干网等），最终到达目标。
这些中间设备和路径，就是“路由”。常用命令：
也可以用站长工具、itdog、ipip.net等在线工具查看tracert www.baidu.com，其实没啥看的，直接itdog去路由追踪，然后分为几跳，分别代表了流量的各自路径走向，但是实际上看最后一跳有没有丢包和延迟是否正常就行了

11-十堰高防目前是cpu很垃圾的机子，然后线路很垃圾，但是便宜有防御

CND知识

1-cdn有很多种，大厂就是流量计费，带宽几乎无限。小厂有很多是无限流量，但是限速。

假设你的cdn套餐写的总带宽50mbps，就是当前套餐下网站cdn所有节点总和带宽

比如你网站现在十个人访问，十个人每个人5mbps，第十一个人的加入，可能是平均每个人4.545454545，也可能是第十一个只有几十kb，等前面十个人中某个人连接完毕后，给第第十一个人分配，具体看cdn的厂商程序系统是如何分配的。

反正就是限制你50mbps，它们有一个监测程序，监测你的流量有没有超过限制峰值，超过了就给的用户降速

具体怎么降，看cdn厂商的程序

带宽在限制内够用，可以选带宽限制的无限流量套餐。

带宽峰值流量高，但是用的流量不多，就用流量计费无限带宽的套餐，根据情况来。

一般网站不提供下载和视频服务，流量限制套餐都是够用的，提供视频服务，你就算维持一个用户访问视频最低多少需要带宽，然后cdn总带宽除，就知道最多只能维持多少个用户同时访问了，用户超过这个数，前面用户就可能卡顿，或者前面用户不卡顿，后面用户一直转圈，根据cdn限流程序而定。但是不管哪种情况，都说明不够用了。

2-cfpropro也没有大陆优化，只能优选，pro海外也就多些waf规则，还有自动盾，对国内线路没有优化，国内线路优化得优选节点

3-源站的服务器线路非常垃圾，经常掉包，不稳定，用一个极佳的cdn能不能弥补?

答案是有些许作用，但是动态网站的源站最好是用好线路，cdn补救的不多，必须和你服务器是同运营商线路，然后必须在主干网络。

这里涉及三个网络，用户的网络，cdn的网络，你服务器的网络，然后任何两方的通信，都不是其中一方线路好，就能弥补另外一方差的，比如用户是一个偏远地区，而且不是主干网络，然后是移动的网络，而你的服务器是电信的网络，这里就涉及跨网，基本必定丢包，人家本身移动就不好用，比如是支干网络，还和你服务器线路跨网，自然更慢。

所以我们要做的就是让我们的线路变成三网线路，从电信单线变成移动联通电信三线，这样就能解决跨网问题，然后bgp线路优化，就能更好的和用户进行连接，可以尽可能的减少用户支线网络延迟高的问题。

但是：一个cdn节点根本就不可能用三线bgp，只是说cdn有三个运营商的各自节点还查不到。对于用户来说，一般会自动分配和用户同运营商和最近的节点，那么用户到cdn这里是确实优化了。不过当cdn回源到你的服务器，你的服务器是单线，那么不是和你服务器是同一运营商的cdn节点，自然就也会跨网，变慢丢包。

其次就算是和你服务器是同运营商的cdn节点，而且cdn节点是bgp线路，单你服务器那条线路本身就垃圾，那么cdn的信息通往你服务器，刚开始走的是高速路，但是到你服务器那段路，是必须走那条路的，但是那条路是泥巴路，总是会影响的

所以源站线路的好坏是最重要的，cdn基本没有太多线路好坏一说。

  1. CDN 的 BGP 是针对 **用户到 CDN**

CDN 的节点一般放在「三网 BGP 机房」，这样用户无论是移动、联通还是电信，
**访问 CDN 节点时都能选到最快、最直连的线路**，避免了跨网丢包。

👉 但这只是 **用户 → CDN 节点** 这段路径。

---

#2. CDN 到源站的通信是谁决定的？

CDN 节点要回源，必须走「源站所在机房」的网络。

* 如果源站是电信单线机房，那 CDN 节点访问它时就必须走电信的链路。
* 如果源站是三网 BGP 机房，那 CDN 节点访问它时可以走最优的直连线路（联通、移动、甚至多线冗余）。

也就是说，**CDN 节点到源站，最终还是受制于源站的接入网络**。

---

  3. 为什么会感觉还是“跨网”

假设你的源站在 **电信单线机房**：

* 用户（移动） → CDN 节点（BGP） ✅ 稳定
* CDN 节点 → 电信源站 🚨 这里走的是电信链路

问题来了：

* 如果 CDN 节点本身在联通/移动骨干网上，它访问电信机房时，依旧可能出现**跨网丢包**。
* 只有当 CDN 节点恰好在电信骨干上，访问电信源站才比较稳。

所以说，**CDN 是 BGP，不代表它访问任何单线源站都不会跨网**。

SSL证书

·1-证书一般用免费的就行了，免费证书额度是你当前存在的证书，比如额度是50，是让你当前存在50张可用的证书，而不是一年只准申请50次，也就是你一月申请了50张，4月全部过期了，你还能再申请50张，这里说的是腾讯云，其他的可能会消耗

在我目前看来，所有证书没区别，只是免费证书需要三个月一续，但是配合自动续ssl的程序，也不麻烦。

宝塔可以自动续签，文件验证可能续签失败，dsn验证比较推荐（需要在宝塔填入你需要申请证书域名的解析平台的权限密钥）

2-主域名和www前缀的ssl证书签发的dns验证，是在主域名填主机记录，如_dnsauth然后填记录值。子域名同样是在主域名的dns记录那设置，只是前缀变成了_dnsauth.前缀，如_dnsauth.cdn

3-二级域名的证书申请的dns验证，也在一级域名解析那里添加就行，只是主机记录值不同（证书发放平台会给你值）

4-cdn处的正式和源服务器的证书不需要一样

这是一个非常经典且关键的建站问题。

直接给你答案：这两个证书「不一定」要一样，但它们「可以」是一样的。

为了让你彻底搞清楚，我们需要把用户访问你网站的过程拆成两段来看：

1. 核心原理：两段路程
   当使用了 CDN 后，用户访问你的网站其实是走了两段路：

第一段（前端）：用户浏览器 <---> CDN 节点
第二段（后端/回源）： CDN 节点 <---> 你的宝塔服务器

HTTPS 加密是分段进行的：
CDN 处的证书 负责加密「第一段」数据。
宝塔处的证书负责加密「第二段」数据。

---

2. 两种配置方案的区别

方案 A：两处使用完全相同的证书（最常见）
你申请了一套证书（比如 `example.com` 的证书），把公钥和私钥分别上传到 CDN 控制台，同时也粘贴到宝塔面板里。

* **优点：** 逻辑简单，管理方便，确保全程都是高强度加密。
* **缺点：** 如果证书到期了，你需要在 CDN 和宝塔两边都去更新，比较麻烦。

方案 B：两处使用不同的证书（更灵活）
这种情况非常多见，尤其是在使用自动化证书时。

* **CDN 处：** 使用 CDN 厂商提供的免费自动续期证书（或者你上传的一套证书）。**这是给访客看的，必须有效且受信任。**
* **宝塔处：** 使用宝塔自带的 Let's Encrypt 申请的证书（每3个月自动续期），或者是 Cloudflare 的 Origin 证书，甚至是自签名证书。
* **可行性：** 只要 CDN 能够“信任”宝塔这边的证书，连接就能建立。

---

3. 具体怎么选？（关键建议）

取决于你用的是哪家 CDN 厂商以及你的回源策略设置：

情况一：如果你用的是 Cloudflare（或者类似的国际大厂）
Cloudflare 有几种 SSL 模式：

* **Flexible (灵活)：** 宝塔**不需要**部署证书（只开 HTTP 80端口）。CDN 到宝塔这段是明文，不安全，**不推荐**。
* **Full (完全)：** 宝塔**需要**部署证书。证书可以是**自签名的**、**过期的**，甚至和 CDN 处不一样的。CDN 只管有没有加密，不管证书真假。
* **Full (Strict) (完全-严格)：** **(推荐)** 宝塔**必须**部署有效的、合法的证书。此时，你可以用 Cloudflare 颁发的“源服务器证书”放在宝塔上，有效期长达15年，非常省心。

情况二：如果你用的是国内 CDN（阿里云、腾讯云、七牛云等）
国内 CDN 通常要求回源协议如果选 HTTPS，源站（宝塔）必须有一个**有效的、不过期的**证书。

* **建议：** 为了省事，**两边保持一致**是最稳妥的。
* **或者：** 宝塔里申请 Let's Encrypt 并开启自动续期；CDN 那边上传一个有效期一年的付费/免费证书。这样两边互不干扰，只要都是有效的即可。

4. 总结与排坑指南

5. **访客看谁的？** 访客浏览器地址栏上的“小锁”和证书信息，看的是 **CDN 上部署的那个证书**。
6. **宝塔证书的作用：** 仅仅是为了让 CDN 节点在回源抓取数据时，数据不被中间人（比如机房运营商）截获。
7. **常见错误：**
   * **错误：** CDN 开启了 HTTPS，回源端口选了 443，但宝塔站点没部署证书（或者没开 443 端口）。**结果：** 网站报 502 Bad Gateway 错误。
   * **错误：** 宝塔开启了“强制 HTTPS”，导致 CDN 回源时发生无限重定向循环。**解决：** 建议在 CDN 层面做强制 HTTPS 跳转，宝塔层面关闭强制跳转。

**一句话建议：**
如果你不想折腾，就在 CDN 和宝塔上**部署同一套证书**。如果你希望宝塔那边自动续期省事，可以两边不一样，但必须保证两边的证书在各自的时间段内都是**有效**的。

5-有些证书服务商，你申请 abc.com，会自动赠送 www.abc.com（反之亦然），但这不是所有CA的默认行为，要看你申请时的选项。也就是同一个证书能用于根域名和www域名的ssl。有些没赠送的，就只能用两个证书，是不能复用的，有没有赠送可以看文档和开工单问

服务器

物理服务器，就是一台完整的服务器，和我们电脑机箱差不多。

云服务器：一台物理服务器通过技术，比如物理机有24h48g，通过技术分为6台4h8g的云服务器，其中一台出问题，其他五台不受影响。

轻量云：也算云服务器，但是厂商限制了性能，也都是老机子（就像电脑分i3和i9），而且无法改变配置和流量，只能进行套餐形的升级，比如内存cpu流量带宽全部升级，不能和云服务器一样，单独升级某个配置；（一般也没人升级，升级一般没折扣，能贵死你）

vps：通过一台物理机用虚拟化技术，分出很多个机子给大家使用，有自己安装php和自定义配置等权限，但是一台机子出问题，其分出的所有vps机子全部出问题。

虚拟主机：用户没有系统权限，没办法主机安装某个环境比如换php版本（有的能换版本，但是版本是固定的那几个，你没办法自定义php配置等），里面的环境和配置和软件都是固定的。

区别：云服务器具有更高的稳定性，因为其采用了分布式架构和冗余备份策略，有效避免了单点故障。

VPS的稳定性相对较低，因为其依赖于单台物理服务器。当物理服务器出现故障时，所有托管在该服务器上的VPS都会受到影响。

tip：云服务器和轻量云和vps基本都能有独立ip，但是虚拟主机基本上是共享ip，独立ip很少或者得额外付费。

小网站直接腾讯云阿里云去嫖新用户首单特惠，存储桶和轻量云都很便宜的，过期了就用亲朋好友的号再开首单特惠，服务器迁移就行了，备案问题自己号保留一个垃圾最便宜的服务器，实际上用亲朋好友的首单服务器，就说用了cdn就行；存储桶迁移就更简单了没限制；短信和邮箱和cdn什么的就不需要嫖首单了，老用户也不贵。

其实只要你有多个手机号码，一个身份证可以实名多个账号，你有两个手机号码，就能两个号撸两次首单特惠，都不需要用亲朋好友的。

比如腾讯的cos首单100有1t一年，你过期了，你就再开个号就行了，然后数据转移，记得把相关配置也在新号中设置好。

如果你觉得麻烦，你也可以直接去新购一个存储桶套餐。（如果COS存储桶的资源包已过期且您不想续费，您可以选择不进行续费操作。资源包过期后，存储桶的使用将会转为后付费模式，即从您的账号余额中扣费。如果您想另外购买一个新的资源包，可以重新购买一个相同的资源包使用，新购买的资源包会直接抵扣用量。资源包与存储桶无绑定关系，因此您无需将存储桶的数据迁移到新的存储桶。）

我首单到期，换号嫌麻烦，去新购了一个100元500g一年的（老用户找活动直接购买的，不找活动得400多）

服务器有很多种，比如有大带宽和高防御，就不用上cdn了，不限流量的话就可以考虑加存储盘，图片都存服务器不用存腾讯云cos什么的，付流量费了，具体情况具体分析，找出最划算的方案。

服务器可以去宝塔中下载宝塔跑分应用，可以看到相应的性能跑分数据。

买服务器，可以找便宜的，但是不能太离谱，不然肯定会被跑路，或者超开（也就是说多人共用资源，很有可能跑不满）

大厂服务可以加一下客服经理，是可以第一时间了解最新活动的，除了那种最便宜的机子，其他机子和云服务基本可以额外申请优惠券抵扣，活动问题等都可以问问，他们拿一些提成，我们也节省了时间，双赢，反正那个提成我们自己也拿不到。也可以加几个和腾讯云等云服务资源合作的渠道商代理，对比价格。

一般轻量云国庆，双十一和周年庆最便宜可以到达1-1.5折，其他云服务器也是三折，如果你是公司对接大量，去谈可能云服务器也能1-1.5折

服务器的带宽大都是Mbps，和我们日常理解的有区别。如12Mbps：

12Mbps（兆比特每秒）的下载速度换算成实际下载速度如下：
首先将Mbps转换为Kbps（千比特每秒）： 12 Mbps = 12 * 1024 Kbps = 12288 Kbps
再将Kbps转换为KB/s（千字节每秒）： 12288 Kbps / 8 = 1536 KB/s
所以，12Mbps的下载速度大约是1536 KB/s。

1-总所周知，想用国内服务器为域名提供服务，域名必须备案，但备案又很麻烦，如果你只是用此域名做一个静态网站，则可以用github的仓库代替服务器。

如zhoudongqi.cn此域名在当前2023年9月，并未备案，但我将此域名的DNS解析到github的仓库后（当然在github也需要进行一系列操作绑定并认证zhoudongqi.cn为你自己的域名，操作百度即可），这个仓库就相当于一个服务器为我的域名提供服务。

2-2021年买的腾讯云轻量级2h-4g-8m-每个月1200g流量，才200块三年，现在大厂的服务器及时搞活动也贵的了特别多。

3-一般大厂搞活动也就那些轻量云搞活动，其他服务器贵的要死，所以很多人也用的小厂服务器。

4-轻量云和普通云服务器是有区别的，轻量云的设备比较老，而且有性能限制，简单说同样配置，性能没那么好。

5-服务器和我们电脑一样，是分新老的，比如电脑的cpu的i5和i9，同样8核的话，那个性能是不同的，所以你会看到同样配置不同服务器，可能价格相差很大。

6-云服务器就是一个物理服务器机虚拟化出多个云服务器多个ip，可以给多人使用。你的站点流量高，也可以直接买物理服务器套餐，或者找机房合作买一台物理服务器让它们代运维什么的。

活动

1-大厂服务器都很贵，一般除了轻量云，其他机器都是买给企业的，一般3折拿，量大1-2折。我们还是买小厂吧，或者用轻量云。

2-大厂有那种企业认证等，比如阿里云企业认证领3500优惠券等可以关注一下。

服务器系统

1-centos纯命令占资源少，debian图形和命令都可以，ubuntu是图形界面

现在一般用debian系统，因为centos停止维护了

注意：

1-国内买的服务器除了hdd，还都不能做发卡，代收款（比如易支付等），会被封机器。、

2- 如果不是自己玩玩而已，不要买轻量云，轻量云性能比正常服务器差很多，而且遇到用户激增，不能加配置和加流量，是固定的，加配置也必须得整体上配置，不能单独加某个配置，只能套餐形的加配置，而且加配置一般没优惠价格，那么根本不划算，再者轻量云有固定流量限制，一个月流量用完没有流量包可买，只能按gb流量按量付费。

3-要买弹性云那些能后续加带宽和硬盘和内存等配置的服务器。

tips：

1-腾讯云轻量云可以买一个ddos防护，几毛钱，一个月抵御一次100g的攻击。

2-服务器被打进黑洞了，有一个轻量ddos防护（防御几乎为0，就是用来解除封禁的），三十多，可以每个月立马解封三次。

3-nat机子默认是被墙的，因为太多人用了，你只有一个端口，不拥有ip，ip是共用的，难免有人乱搞，所以默认是被墙的，nat机子一般都是国外机子

独立IP是你能用全部的端口，nat就是每个用户分配特定端口，共享IP

4-腾讯的锐驰系列只是大宽带轻量，无忧系列也是轻量，而且也并不便宜

5-vps是受限一台物理机，vps再扩容，不能超过它本身的母鸡，也就是那台物理机。大厂云服务器是分布式的，不受限于一台，带宽还是扩容还是数据备份都可以多线路接入，可以无限扩容。

6-轻量服务器是以套餐形式售卖的，cpu、内存、带宽是绑定在一起的，无法单独调整某一个，只能整体升级套餐
云服务器功能强大拥有多个功能，可以单独升级cpu、内存或者带宽。但是这种原价升级很贵，一般也不用。

7-腾讯云不止是活动秒杀款，是所有服务器都不支持过户，但是可以通过修改账号认证主体，把账号认证改成其他人，但是如果你有很多业务，只想过户一个服务器，这样是不行的，因为账号认证改了，相当于全卖了

8-阿里云可以过户，但是某些也有限制，比如活动秒杀款大都不能过户

9-大厂服务器也就买的起轻量云，大厂好在线路和可用性和sla和售后，不要做到99.99的稳定性，买小厂服务器就得了,买小厂注意线路

10-服务器跑分，搞个windows进去，然后下载cpuz跑分，linux也有叫cpux，但是从来没用过的人可能不会用，这个主要是用于买代理云，害怕超开等等，它也有办法伪装，这里不展开了。

11-nat是没有独立ip的机子，它只分一个端口给你，一般用来做vpn，不过这是违规操作

12-腾讯云轻量的机子不一定cpu垃圾，也可能很好，随机分配的，价格在2h2g60g硬盘500g流量月，5mps可以做到370三年。

4h价格急速上升，CPU-4核内存 - 8GB系统盘-SSD云硬盘180GB管理快照，流量包- 2000GB/月（带宽12Mbps）最便宜300一年。

再往上就没有轻量云了，只有云服务器，贵到爆炸

2021年买过4g4h8m80g198三年

大厂就没有便宜的超过4h以上的机子，只有轻量云能消费的起，所以4h网上，一个是中厂比如快快，一个是靠谱的一级代理商（你冲了他的代理，比如给你五折六折后，还要赚你百分之五十一半，比如100一个月的服务器，他是50拿货），更实惠就是去代理商相互窜货对接的的群（赚你百分之三十），最便宜就是对接机房代理，但是都有很高的门槛，一般不如找个中厂的活动价，靠谱，而且比冲一级代理商的代理还便宜。

13-海外服务器会不会被墙，看你内容的，内容正规一般不会，墙分很多种，封ip，dns污染等等，一般你正规内容，而且用了cdn，不会封你的，dns污染封域名那种待遇一般违规内容和谷歌这些域名才会享受到。

有备案用国内cdn，没有备案亚太cdn
因为国内cdn也是要确定你域名备案了才行
你用海外服务器，自然是没备案，所以用亚太

有的地方是有省墙的，跳反诈，需要去相关网站申诉解封。墙分为封ip，可以通过套cdn防止被墙，还有域名层面的dns污染和大墙GFW阻断（表现为解析的IP都正常，但就是超时），相当于你域名上黑名单了，这基本没折。但是一般正规业务是不会墙你的，上黑名单也是那种知名度很高，而且存在国内不允许存在的内容的网站。

有个开论坛的，海外ip有不墙的比如nodeloc也有被墙的比如nodeseek等，看内容和人气和自己的规避手段决定

服务器的一些知识

1-可以买个腾讯云大带宽，然后挂载云硬盘，根据你情况来，我是说可以有这种操作

云硬盘和轻量服务器购买必须在同一地域同一区,这样才能互通

2-腾讯按理轻量云的u不一定垃圾，但是看运气，有的区cpu特别好，有的区不行

3-阿里腾讯云代理基本上能四五折以下，但是是正价机器，活动机器是不能打折的，正价就算五折也是很贵的

你在腾讯云有什么优惠，迁移到阿里云，直接打阿里云官网电话，申请同等优惠等即可，同理阿里云迁腾讯云也一样。

这两个厂家代理一般也能给五六折优惠

4-bgp线路也分真假，有双线三线五线，甚至有假的，不过是更好的单线，给运营商钱多，跨省跨网限制少，不丢包，路由屏蔽一些，卖家就说成bgp了

5-直接线上找代理的大机房好像只有飞讯https://fxas2011.feishu.cn/wiki/NWRRwHPFCiGFUakzzx0cpHcAnMC?sheet=Ur7I1V，市面上的十堰机器基本是他家的。其他厂家基本上不接线上代理，你不是代理，也拿不到代理价格，所以最好的情况就是选个搞活动的中厂，或者找厂家的一手代理买服务器了。

你找一手代理买服务器，想便宜，本身也得预存的，只是这里的预存可能是几千，而找厂家需要预存几万
预存门槛一般便宜一点是500-2k左右，可以拿很多折扣
不过国内机子一般最低6折，而且很难拿
进他们群看活动看人数实力，决定预存还是蹲活动机


其实只要知道源头价格，差不多就行了，没必要选，找个熟悉的相对稳的买就行了，有的钱让他们赚，没必要省
你又不是谈机房，就那么点钱的云服务器选什么
很多小厂，网站都不上活动，代理价格和折扣也很随缘，你得加他们群，群里面才有活动，买活动机可能比代理还划算，因为代理一般只能买原价机打折，你是自用不是长期对接，可能蹲个活动机比预存代理还划算

idc预存价，源头机房价，机房成本价

一般那种服务器代理商，就是有自己的官网，自己也可能有机器在机房那种，你看见的他们的商品打五折的价格，基本等于他从其他人那里拿的原价，但是他是在其他人那里充了代理的。可以五折，所以相当于赚你一半，比如100一个月，他成本是50

其他那些代理预存idc，比如冲3000，打六折什么的，其实打折后，他还能赚你一倍，比如打折后100，他买机房源头成本是50，如果你量大，机房就可以再让利，给你30

但是你就买个云机，机房不会理你，idc赚你一倍，也是他买的多，有风险，有搭建技术，有证什么的其他成本


买云机差不多得了，反复对比浪费时间也没便宜，知道个具体成本价格，该赚给代理赚，找个认识的靠谱点的就行了

蹲中厂活动机比如快快厂商，可能比找一手代理预存几千拿代理更划算，看情况吧，有的idc的代理没啥用，打个六折，但是他群里发的就是六折价，相当于代理白开，而且其实打六折其实还是赚你一倍。你如果找上游，上游不理你的，因为你买的少，而且要预存的，所以不如中厂，中厂活动赔钱赚销量，和上游一手代理拿厂商的成本价格差不多的优惠了，而且稳定靠谱。

代理云卖全国各地服务器？谈一个厂商也只有一个地区的服务器呀？

一种是单一机房的，源头就是机房

还有那种你发现他网站，各大地区服务器都有卖，他们就是和各大机房合作的，也相当于在各大机房都有一手代理

他们不是代理某一个机房，而是代理对接多个机房。因为信息差，有的人也只是代理其他代理的资源，就是倒了两手的代理

找到你想要的地区，去找大机房源头，量小机房不理你，或者充机房代理充太多用不到，或者根本找不到源头，因为源头机房很多的，那些专门做IDC的代理也是到处找机房对接。那就去找大代理。

大代理的代理就不要找了，太贵了，因为倒了很多手了
也就是找上家就是机房的代理，而不是找上家也是代理的代理。

有时候大代理也是对接其他代理的机房资源，相当于倒两手了，但是没办法，因为一个人不可能有所有机房资源。

反正你尽量找你需要的那个地区的服务器的源头一手大代理就行了

找到源头价格了，剩下的就是人脉，或者价值互换，去叫他们给你一个低价，

6-十堰有防御，也就是源服务器不怕ddos第四层攻击，但是丢包严重，而且跨网上传会很慢，比如你加带宽是电信，你拖个文件到十堰服务器的移动线路的宝塔上，上传会很慢很慢

十堰襄阳这些服务器，带宽跨网慢，丢包，速度跨网可能只有标的百分之30带宽。bgp是三网都快

7-https://www.nodeseek.com/post-7075-1服务器简单分别好坏

8-大厂都是有各自的备案系统，所以备案不通。小商家没有备案系统，可以直接用大厂的备案，不需要做接入,也就是你在大厂备案了就行了，就可以买小中厂的国内服务器用。但是好像需要过白，需要联系客服问问，有的自动过白，有的需要自己去厂商某个地方人工填写。

9-一个vcpu不等于一个核心，而是1线程。一般1核心两个线程

有的厂家把1vcpu当作一个核心在宣传，需要注意

10-防御。这个看机房 有些机房 600G的墙 也只写100G 有些机房 600G的墙就敢写600G，因为这些是群防。

腾讯大厂是单防，小厂是群防
但是单防不可能买的起的，根本无需考虑

11-‌95计费‌是一种基于带宽使用统计的计费模式，通过剔除5%的最高流量峰值，以剩余95%流量中的最高值作为计费依据，常用于IDC、CDN等服务中，兼顾成本效率与突发流量容忍度。

12-为什么有时候相同配置，什么都相同，价格差距那么大？

为什么同样配置同样的东西，另一家便宜？因为服务售后不好，还有超开的多，同样一台物理机100核心，一个卖10台10核心云机，一个卖25台10核心云机（这需要物理机有250核心呀，他本身只有100核心，怎么办到的？超开呗）

什么是超开，就是一台物理机100h，他能卖出20台8h，所以你的8h在所有人同时跑满的情况下，是没有8h性能的，在其他人没用的情况下，你才能跑满8h

大厂一样超，但是大厂机器多，总有人没跑满，所以大厂能保证你需要跑满8h的时候，包给你8h的性能

而且小厂什么都是共享的，带宽，防御，都是共享的，cpu超开看IDC良心了，所以要找稳的熟悉的，不能只看价格。提前问好带宽怎么样，能不能随时跑满，防御群防被黑洞，能不能秒解除，因为群防也不会给你一个人用，一直给你死扛会影响其他机器。只能说多久能解除，死扛多少，都要提前问。

小厂云服务器本来就是共享超开，通过qos分配勉强能用，为了便宜，你可以买，但是不能便宜过头了，凡是有个成本价。

共享其实你最大化利用资源，不浪费cpu等等，IDC这样做，只要合理其实没啥。虽然共享，但是能满足每个人突发性能就行了，而且给客户一个便宜价格了，赚钱的同时，价格下来了

但是太离谱便宜了就不行，那就相当于续表，你买个16h的服务器，可能不如人家4h，便宜有什么用

13-那些cpu和电脑cpu型号差不多的服务器就是游戏云，因为搭建游戏需要主频高

主频（Base Frequency)：CPU默认的基础时钟频率，由外频与倍频乘积决定，反映处理器在轻负载（如浏览网页）下的稳定性能
睿频（Turbo Frequency)：Intel/AMD的动态加速技术，通过调整电压和倍频，在高负载且散热充足时自动提升核心频率（通常比主频高20%~50%），任务结束后恢复基础频率.

14-黑五是买国外服务器，国外在圣诞节上一周的周五会大促销

15-nat便宜是因为没有ip，只有端口，有ip基本上都固定二十左右一个月，卡死的费用，而且nat机子默认是被墙的，因为你的邻居（相当于一个ip很多人使用）可能干了坏事，让ip被墙

16-每天一个小技巧：如何识别是否是对接云，想找到源头？
对接云在产品管理控制里面是看得到上游URL的，一般都是产品控制CSS JS文件就会用上游的哦，我们自己去找上游也许就更便宜。

17-系统盘60g才能装win11，系统盘是装系统的，数据盘是放数据的，数据如果放系统盘，重装就会丢失，有的厂商不分系统盘和数据盘。比如腾讯轻量云，默认只有系统盘，数据都是在系统盘的，你用完了可以付费加数据盘。

一般网站和数据放数据盘，系统和nginx等环境放系统盘


但是网站数据也可以放系统盘，nginx也可以放数据盘，都是盘都能存，都能运行

只是系统盘重装就没有了，数据盘得勾选格式化才会没有

普遍环境如nginx放系统盘，网站数据等放数据盘。系统重装后，数据盘还在，网站数据就还在。然后重新安装nginx等等环境即可

如果反着来，网站数据放系统盘，nginx放数据盘。重装系统后，网站数据没了，nginx还在。但是此时nginx也运行不了，因为没有系统环境。网站数据还丢了，所以不符合常理

腾讯阿里等轻量云买来，就全是系统盘，没有数据盘。所以环境和网站数据都装在系统盘。重装系统全部消失。

18-不同区机子配置一样，IP段线路不同，网络质量，比如丢包稳定不同

19-一样的城市省份，不一定一样稳定，比如湖北十堰，有的丢包有的不丢，因为决定的是线路，不是地区，同一个地区一样有好有坏，具体得高峰期去ping。

20-大厂才是真正的云服务器，因为机子多，真的弹性云互相调用扩容资源。小厂是vps，就那几台物理虚拟的，受限于那几台物理机。

21-大厂的优势？

大厂24小时的售后，技术强，不可能说硬盘出问题数据丢失或者宕机等修复，因为有故障自动无感知切换等，然后不可能跑路，不可能说突然停电，不可能说机子需要停机换硬件和迁移等等，稳定线路也好不丢包（小厂八成都多多少少丢包，除了bgp），不超售和虚标，功能多服务器可以和大厂其他产品互动互联比如提供服务器安全扫描等，大厂还提供换免费ip，快照等服务，。


小厂就一个便宜。小厂还可能故障，没有异地备份，然后数据丢失，所以一定要做好备份

22-服务器选用分你的使用场景

有很多种场景，比如大带宽服务器，你建站就用不到，因为网站业务肯定不能被攻击，那就肯定得上个cdn，因为你就算物理机800g防御，真正做业务，也防不住第四层，上了cdn下发资源了，源服务器就下发html，还要什么大带宽呢，根据业务不同，架构不同，选用不同服务器

所以cdn是必须的，但这种大带宽大硬盘机子可以做存储桶用，就不需要买cos空间和流量了（记得前面也套cdn防御），不过总体看你业务需求和你的业务架构生态环境，比如cos能自动审核违规文件等等，你用大硬盘机器代替如果想要自动审核，自然很不方便，如果一系列操作下来成本比买cos还高，自然不如直接买腾讯云的cos存储桶

23-看线路，十堰线路就丢包很严重。

24-一般核心和内存1:2比较好，cpu是速度，内存是能开多少程序

25-一般服务器厂商有，湖北十堰飞讯,成都西信,中立,枣庄亿信通

26-大厂不存在线路问题的，大部分情况下根本不需要看是不是bgp。线路大部分是小厂可能存在问题，所以搞个什么bgp线路的名称，证明这个线路比一般线路好。

bgp的意思，就是三网优化，线路很好，用户访问不跨网

bgp线路是普通线路两三倍，和电信是移动宽带两三倍价格一个道理

十堰垃圾，单线根本不能用，但是网站一般也不用bgp线路，买宁波等好的单线线路即可。

BGP 的全称是 Border Gateway Protocol，中文叫边界网关协议，是互联网的“路由协议之王”。

1. BGP是什么？
   BGP是一种互联网核心路由协议，用来在不同的自治系统（AS，通常是运营商、IDC、云服务商等）之间交换路由信息。
   简单说，BGP决定了全球互联网的数据包怎么“走”，比如你访问Google，数据包是走电信、联通还是移动的线路，都是BGP在背后“指挥”。
2. BGP在服务器/机房中的含义
   BGP多线/多家运营商接入：机房/服务器的IP段通过BGP协议同时接入多个运营商（如电信、联通、移动、国际线路等）。
   这样，用户访问你的服务器时，会自动选择最快、最优的网络出口，比如电信用户走电信、联通用户走联通。
   这就是常说的“BGP多线服务器”或“BGP机房”。
3. BGP的优势
   智能路由：不同地区/运营商的用户自动走最优线路，访问速度快、延迟低。
   高可用：某条线路故障时，BGP会自动切换到其他可用线路，保证服务不中断。
   适合全国/全球用户访问：不再担心“南北互通”问题（比如电信用户访问联通机房很慢）。
4. 举例说明
   你托管的服务器是“BGP多线”，那么无论访客用的是电信、联通、移动还是海外网络，都会自动走最优线路访问你的服务器。
   如果是“单线”服务器，比如只接入电信，那联通/移动用户访问时可能会慢。
5. 总结
   BGP就是让你的服务器/机房同时接入多家运营商网络，实现“多线互通、智能路由”，让全国/全球用户都能高速访问你的服务器。

27-一般香港服务器才三网直连,比如你买新加坡服务器一般就没有直连,因为距离太远了,直连成本太高,但是经过香港中转和线路bgp优化的线路也能买,也挺好的.不过能买香港尽量香港.国内服务器的话就必须直连了.

看情况吧,你买的是什么就是什么,香港也可能不直,新加坡也可能直,是bgp就没问题,然后延迟稳定100ms以下就行了.香港线路经常被ddos还不稳定，不是你的服务器被攻击，是整个线路因为神仙乱战，导致不稳定。所以也香港可能绕，新加坡反而直

28-腾讯云轻量云的cpu是随机的，现在貌似cpu还可以，如果cpu垃圾可以退款刷cpu，注意一年好像只能退款10次左右，有的平台还能刷线路，大厂刷线路一般是买境外机器才用到。

29-轻量云有流量限制，服务器是共享带宽还是独立带宽（那种大带宽100MB这种基本上共享，但是能保证你能跑到这个峰值，只要你不长时间占用就行了。5M10M的这种，还给你限制一个月1tb流量，这种大概率独享，能保证你24h跑满都可以）

30-腾讯云是可以直接账号密码登录的，把手机验证关了就行，然后一个身份证可以注册腾讯云三个账户，一个企业可以认证十个腾讯云账户

腾讯云账号一个人身份证只能认证3个腾讯云号，然后号的注册的话，必须绑定手机号和微信，但是一个人的手机号和微信都可以绑定多个腾讯云号，微信好像是可以绑定无限个号，手机号码好像是五个，所以手机号码和微信也不是问题。

一个微信号可以绑定无限个腾讯云账号，便于登录，但是注册的时候直接扫微信，会提示当前微信已绑定账号，无法注册，得注册后再绑定微信。那怎么注册呢，得先用手机号码和邮箱。

31-centos和debian和ubuntu都是基于linux的，只是linux的不同发行版本，centos已经停止维护了，不要再选了

追求新功能用ubuntu,追求稳定用debian用宝塔的话都一样,,debian占用也低一点点.

有的东西用最新，有的东西不能用，比如debian13，尽量等大家都用再用，不然各方面的不兼容问题，你自己排查解决不了

32-php的论坛功能网站，一核心一个页面，2.4频次的cpu，4核心基本上四五个页面cpu会将近80-100%，即使实际上可以多处理一倍，比如开8页面，前4页面1-2s响应，后面4页面就等1-2s才能开始响应，也就是需要等4s

33-用自己电脑搭建服务器？你需要解决ip地址，运营商不会给你ipv4的，当然你可以内网穿透，或者用ipv6，然后找一个支持ipv6的cdn互相配合等等，总有解决办法。

服务器处理器得看型号，还要看是第几代，服务器贵的不是处理器内存等硬件，而是满载一年的带宽费和电费和维护费，还有ip，线路，和防御，维护包括硬件损坏秒切，容灾备份，永不停电等等。

防御，万一ip被打了，基本上ipv4就被收回了，家宽自己当个玩具玩玩就行了，不能上线，因为很多东西不稳定，被检测到，还会限速，只能重新拉宽带了；

如果用户少，那没必要，家庭电费都不够，或者比买服务器便宜一点点，但是稳定性不行，不如找个高级点的代理买服务器，让他赚点得了，相差不了多少，省得麻烦，没必要用自己搭建，买个低配小厂机子也用不了多少钱，多少让人家赚点，自己省的麻烦，也比我们自己搭建稳定点

用户多，要高配机子，就更加不能用自己搭建的了，追求稳定，也不差那点钱了

再大点，就租机房机器

再大就自己做机房

34-sla的全称是Service Level Agreement（服务级别协议），简单来说，有这个的云服务厂家，如果是厂家问题导致不可用，是会赔你钱的。

35-如何租机房？你不可能租一个机房，而是自己买物理机，租别人的地方放，租位置，租带宽和线路和ip和防御

1u服务器是什么意思，1u就是一个机房空间的大小单位，

1U”是服务器机房和IDC行业的一个标准术语，用来描述服务器的高度。

1. “U”是什么？
   “U”是机架式服务器的高度单位，英文全称是“Rack Unit”，缩写为“U”。
   1U = 1.75英寸 ≈ 4.445厘米。
2. “1U服务器”是什么意思？
   “1U服务器”就是高度为1U（4.445厘米）的机架式服务器。
   宽度和深度一般是标准的（宽度19英寸，深度根据厂商不同）。
   这种服务器专门设计成可以水平插入机房的标准机柜（rack）里。
3. 为什么要用“U”来描述？
   机房的服务器机柜（rack）高度也是用U来计量的，比如42U机柜可以装42台1U服务器，或者21台2U服务器。
   这样方便机房统一管理、布线、散热和维护。
4. 常见的U数
   1U：最薄，节省空间，适合轻量级服务或高密度部署
   2U、4U：更高，能装更多硬盘、扩展卡，散热更好
   整柜：比如42U机柜

对于一台物理机来说，1u放一台的大小完全够用，顶配了，空间完全够用，看的是你机子硬件的性能，一般训练ai要插显卡什么的，才用2u空间

36-服务器线路科普 https://www.nodeseek.com/post-523722-1

37-tcpping是基于tcp连接的，所以可以测试网络质量和丢包率

38-如果你想真正的独享，就上杜甫，其实不是追求超稳定，杜甫独享反而浪费性能了。

39-那些代理宣传的铂金cpu机器，其实铂金cpu不一定比黄金好，需要看具体型号，就和i9又不一定比i5强

抗投诉

如果你做的比较敏感的东西，那么服务器和cdn和域名都要选抗投诉的平台

1-简单来说，比如你做的是侵权内容，对面投诉到云服务商，一般的云服务商会停止你的云服务，那你网站就打不开了，你需要找抗投诉的厂家，当然这些都是指国外服务器了，抗投诉就是厂家不管那么多，最多把投诉转发给你，不会关你的服务器。

美国在1998年通过了一个法案叫做DMCA， Digital Millennium Copyright Act，数字千年版权法案。按照这个法案的规定，网络服务提供商（ISP）有义务帮助版权人保护他们的数字版权，如果版权人或者他们的代理人向ISP投诉，发送了侵权通知，ISP就有义务下架、删除侵权内容。不过这个法案有被滥用的风险，所以除美国外的一些国家的ISP就提供了无视该法案的服务器和网络设施租赁服务，也就是抗投诉VPS

防火墙

1-防火墙是分很多种的，比如封udp和禁止端口和nginx’防火墙，这三个，一个是上层骨干网络，一个是服务器机房，一个是到你服务器那里封

2-金盾和傲盾是服务器厂商提供的防火墙，是强大的软件防火墙,当然分很多种，部署它的硬件也可以叫做硬件防火墙。就和宝塔的nginx防火墙一样是安装在服务器上的软件防火墙。

不用搞懂这些，你只需要看厂家说提供了多少的ddos防护，然后服务器界面有没有cc防护功能（虽然一般用不到这个cc防护，一般都是用nginx防火墙或者cdn处的防火墙）

3-硬件防火墙就是一台机器，机房所有流量先经过硬件防火墙，再到达每一台物理服务器和物理服务器虚拟化出来的云服务器。这是服务器厂商的大墙，这个不是每个厂商都有的。比如金盾傲盾，得服务器厂商有才行（有的机防，他虽然有防cc攻击的功能，但是他没有识别cc攻击的功能，所以如果你用了cdn就没用，会误封cdn节点，如果给节点白名单，那攻击者的请求也是通过节点来的，一样等于形同虚设。）。

5-一个是你本身服务器安装的软件防火墙，比如nginx防火墙；一种是你服务器的系统防火墙，比如iptable和firewalld；一个是安全组，作用在流量到达具体某云服务器之前；一个是机房的硬件防火墙，机房所有流量都需要经过它；一个是独立waf防火墙，看你自己有没有配置，就是单独买一台服务器，安装这个waf，让所有流量先经过此waf再转发到你的源服务器；一个是cdn的防火墙，cdn有人机验证等禁止访问功能；

比如禁国外，一个是机房禁国外，一个是你nginx禁国外，肯定是机房禁更好，更上层,nginx禁的话，流量已经到你服务器了，你服务器处理本身就需要资源。

禁国外有很多个地方，cdn层面，dns层面，服务器厂商机房防火墙层面，你服务器防火墙层面，你服务器软件层面比如nginx防火墙，

6-两个防火墙的区别

1. 安全组（云厂商层面）
   作用位置： 云服务器外部，网络入口
   作用范围： 控制哪些IP可以访问你的服务器
   工作原理： 在云网络层面过滤流量，不合法流量根本到不了你的服务器
   就像： 小区门口的保安，控制谁能进小区
2. 宝塔系统防火墙（服务器内部）
   作用位置： 服务器操作系统内部
   作用范围： 控制服务器内部哪些端口可以接受连接
   工作原理： 在操作系统层面过滤流量，控制端口监听状态
   就像： 你家门口的防盗门，控制谁能进你家
   具体作用层次
3. 网络流量流向
   互联网 → 安全组（云厂商） → 服务器网卡 → 系统防火墙（宝塔） → 应用程序

WHOIS如何隐藏

如果你不想让别人查到当前域名的注册人，怎么办呢？

CN域名查询地址https://webwhois.cnnic.cn/WelcomeServlet

CN域名默认是开启姓名和邮箱的，就算你在注册商这里隐藏（腾讯云，阿里云等），在官网（上面链接）还是可以查到的。

解决：需要花39每年，在注册管理局层面隐藏，具体操作工单咨询域名购买平台（阿里云腾讯云等）客服即可。

COM域名

COM域名一般没有whois详细到个人姓名和邮箱。因为注册局根本没要这个信息（那怎么证明这个域名是你的？我也不清楚~）。

虽然注册局没要，但你在腾讯云或者阿里云注册的com域名也是默认实名了主体的，也证明了你是此站点的持有人，这个信息是保密的（当然你犯事了除外）

其他后缀域名

这些域名有些会显示姓名的英文，但是不会显示邮箱，具体看后缀注册管理局和注册商了。

如何联系COM后缀域名站长

有时想买一个COM域名，站长又没有给出联系方式，因为是com域名whois又查不到信息，怎么办？

可以先简单whois出当前域名注册商，再去去各大注册商（腾讯云，阿里云等）的官方whois平台，一般可以在这里联系到站长（可以通过注册商这个第三方联系，比如你在阿里云的whois告诉阿里云我要联系当前域名站长，阿里云就会发邮箱给站长：说有个人想联系你，你想和他联系吗？）

TIP：一般新注册域名无法马上转出到其他服务商，如阿里云新域名注册后60天内无法转到腾讯云或者godaddy的。

运营

网站ICP经营许可证

这玩意就必须是公司了，而且还要相应资质，门槛高，需要三人的一个月社保证明，公司注册资金为100w等

这个和什么公安备案的交互式又不同，你说公安备案我选了支付的交互呀？

它们职责根本不同，你公安备案通过了支付交互不代表你能这样做，它只是一个备案，反而如果你备案了，没有经营许可证网站还涉及交易，还能通过备案找到你是谁。

所以一般站长就会通过码支付或者易支付或者发卡网进行站点经营

码支付：直接到账自己收款码，款项直清，但是需要搭建程序挂机监测你的账户的余额变化，收款了就回调给你的网站说支付成功了，然后让用户购买成功。也可以用那种自带检测的，也就是别人用服务器搭建好的码支付，每个月收你十多块钱，为你提供监测服务，你需要把支付宝扫码登到他的服务器上。自己搭建就需要自己买服务器和域名和买个程序授权（现在peak码支付程序很火（2024-10已跑路，不更新版本））和维护，浪费精力。如果用别人搭建的因为服务器是他的，程序也是他的，正常来说钱是直接到你账号设置的二维码，但是原理上他是可以修改你网站收款码的，所以也得用熟人的。

缺点：是收款到个人账户，款数多了容易风控，就需要换收款二维码；需要用户扫码，手机端不方便（通过接口可以实现直接跳转支付宝转账页面，而且自动填写付款金额，但是这和传统平台收款不同，用户还是容易缺乏信任）

---

易支付：有资格收款的企业，帮我们代收钱，一般采取day+1的方式二清，第二天给我们，他们抽取一些费率。

易支付，用户付款可以直跳微信和支付宝，和我们平常用的软件收款没什么不同（也看情况，有的易支付只能扫码，在于你找的这个易收款的所用收款有没有h5收款权限，公司申请官方收款接口，扫码收款和h5跳到微信和支付宝内收款，和小程序收款等等都是需要分别申请的，支付宝h5申请容易，微信直跳h5收款申请较难需要公司有一定资质。）

注意：一定要找靠谱的平台，因为只要有收款接口，这种平台人人可以搭建，有的人没有收款权限，甚至又拿其他易支付的接口去套娃。很容易跑路，就把你没提现或者当天的钱吞了。

费率：一般易支付平台有的会收开户费，十块到一百块左右，外加以后微信和支付宝的每笔收款的2%-5%左右（看各易支付平台），也有的开户费高，但是不收手续费，只收他们必须支付给官方的官费。

优点：收款方式对用户来说信任度高，和我们打王者荣耀什么的充钱一样的充值方式；因为是企业收款，也不会风控，就算风控了，易支付平台也有其他收款接口，所以不用担心用着用着收款不了了。

缺点：必须要找靠谱平台（有国内备案，有公司等），否则容易跑路，记得钱必须每天提现，就算跑路也最多跑你一天的营业额，而且还可能你用户付款是正常款项是清楚钱，而你提现的时候，易支付可能给你打的款是hei钱（几率较小，你每天收那点钱一般没啥事，大了你自己也有企业官方收款了），所以必须找靠谱平台。

tips：除了个人无法申请官方收款的群体，很多公司自己可以申请官方收款接口，也用易支付，我认为大概率是为了避责避税，因为用了官方支付钱好像直接到公司对公账户，一定程度来说是需要缴税的，或者需要记账，每个月季度年去申报，比较麻烦，而用别人的就可以零申报，简单一点等等，但是这操作肯定不合规；还有可能这些公司的收入不正规，正规的易支付一般明令禁止不正规的网站接入支付，当然也有允许的易支付代收；就比如没有icp经营许可证，万一罚款利润所得，易支付就可以隐藏这个收入利润，查也最多查到最近调查期间的流水，起先用的易支付收款获取的利润肯定查不到。

---

支付宝当面付：通过这个也可以实现跳转支付宝支付，支付宝官方有很多支付都需要营业执照的，当面付也需要公司企业，但是这个当面付可以不要提交营业执照申请（不是必填项），有的人就会用别人的门店信息去为自己申请当面付，但是这种方式通过率很低。

优点：是到账自己账户；可以直接h5跳到支付宝支付，和公司收款无太大区别。

缺点：这是当面付，网站是来自世界各地的支付，容易发现被风控。

---

虎皮椒：他们是微信商户服务商，微信设立了这个角色的存在，商户服务商可以为个人微信配置收款接口，就相当于把你拉入它的公司服务下，用于网站收款。（他们收取一定费用微信为一百左右）

他们也有支付宝支付，收88块服务费，但也是申请支付宝当面付，没什么区别。

缺点：严格来说不能h5跳转收款，只能扫码收款；通过服务商的设置和技术手段也可以h5收款，但是容易被微信查到，就不能h5收款了。而且它这种h5收款和公司的直接跳转收款页面也有些差异，但是起码比扫码付款好。

优点：直接到账自己微信，不再需要搭建什么码支付，而且起码有一个类似h5收款功能。

缺点：不是企业收款，终究是个人收款，后面肯定也有一点限制。比如笔数和金额大小等

---

企业官方接口支付：需要企业营业执照等，而且微信h5移动端很难申请（支付宝可以申请到h5），微信一般只能申请到扫码。

名词“进件”：https://pay.weixin.qq.com/docs/partner/products/contracted-merchant-application/introduction.html，就是申请收款接口的过程；或者搞个进价的意思就是去某个平台弄一个可以在线收款的资格。虎皮椒就是一个服务商，我们去它那里开通商户，通过这个商户就可以收款了，这个就叫做进件。

费率：有的不同，反正不到百分之1申请还要认证什么的，也得几百块。

优点：官方的，什么页面都是最合理，用户信任度高，付款方便。

缺点：可能要计税，而且公司业务要正规。

—————————————————————————————————————————————————-选择别人搭建的东西，易支付和码支付和聚合登录等等，除了要和他熟悉，还有易支付看资质有没有公司等等。还有一个重要因素：考虑他搭建系统的可用性和稳定性，比如他搭建的站点有没有防护，被ddos了怎么办？他被攻击了防不住的话，我们使用他旗下的那部分功能就也用不了了。

网上大部分说的是自身产品的延伸是不需要icp经营许可证的，比如做一个每日记录打卡软件的付费会员，这是卖的自身产品就不需要icp经营许可证。

然后很多人说有第三方用户入驻产生内容的就需要icp经营许可证，比如论坛等。

但是很多论坛也没有icp经营许可证呀？比如吾爱破解等

网上说的条款是：对于有违法所得的情况，没收违法所得，并处违法所得3倍以上5倍以下的罚款；若没有违法所得或违法所得不足5万元，则处以10万元以上100万元以下的罚款。

我认为标准是，可以用户产生平台内容，但是不能让第三方除自己外的用户现实盈利。比如淘宝那种商家入驻肯定需要icp经营许可证。

一般小的时候没人管，大了自己办一个就行（企业得100w的资质，可以不实缴，但是目前条约公司必须五年内实缴，但是五年内做不起来，基本上也可以注销了，所以没影响，还有三个员工一个月的社保，申请下来看情况一万左右包全了还是代办，自己不操心（总共费用，包含了社保））

你可以先搞个小公司，注册资金三五万的，公司账上不留钱，钱都以工资的形式发给自己等等，就算被罚款，罚的是公司，不是个人，大不了申请破产。也可以变通一下，参考其他和自己类似的网站，会员写赞助等等。

关于ICP经营许可证要不要办，我认为有两篇文章讲的不错，

1-https://bidewang.co/profitable-website-icp-permission/#contact

2-https://www.zhihu.com/question/27921429/answer/130639447?utm_psn=1816639345513340928

3-https://www.zhihu.com/question/27921429/answer/3163937752?utm_psn=1816644432860151808

第一：网站，没有第三方在上面上架商品，盈利等，是不需要许可证的。

第二：网站，没有为第三方提供信息发布平台，是不需要许可证的。

第三：依托微信小程序支付宝小程序等进行经营，不需要许可证，当然也不能违反第一第二规则。微信也会审核你的小程序业务，没有资质他们也不会通过。

根据公告，有第三方入驻的网站平台，才需要办理许可证。

• 第三方商家售卖产品（闲鱼，淘宝，京东，多商家入驻的小程序，等等）
• 第三方用户发布信息（抖音，今日头条，知乎，微博，豆瓣，天涯社区，虎扑论坛，交友小程序，相亲平台

所以做一个网站，卖自己的东西，比如网站会员，是不需要icp经营许可证的。

如果你的网站中有论坛，那可能就涉及到“第三方用户发布信息”，严格要求来说是需要icp经营许可证的。但是其中这一点也有说法，是可解释性的，比如你虽然提供了用户发布信息，但是你并没有让用户挣钱，没有像知乎那样有用户间的付费解答，没有让用户赚钱自己抽佣，也可以是不需要icp经营许可证的，或者说没有完全违反第二条，是较为轻微的。

实际情况：

除了上海，北京，西藏，新疆严格执行，其他地区一般要求放宽了。

实际中很多带论坛的网站都没有icp许可证，只要你的网站内容正能量，合规，不是hhd，一般来说是没人查的，就像地摊经济，规章是死的，人是活的，摆地摊属于不合规的无证经营，但是很多地方是不管的，因为你卖的东西没有伤天害理，而且是正常的有利于经济发展的东西，但是当你正式有店面了，就需要办理营业执照等。论坛网站只要你的内容是正能量，促进社会发展的，小的时候不会有人查，大的时候，就像你有正式店面了，网站做大了，有能力办icp经营许可证了，就需要尽快办理。

所以你没有到一定规模一般不查；查了只要你没有让用户盈利，也是轻微，只会通知关闭相关论坛服务即可，不会罚款；总的来说刚开始必然是提醒，然后警告，第三次才可能罚款。就算罚款也是罚的公司，你账上没钱大不了申请破产（根本就不会这样罚款，除非大人物搞你，这上下是有出入的）。

政治经济学，记得去经商环境好的城市，比如上海深圳杭州

小城市有人搞你，很复杂,第一次直接罚了你也没毛病。大城市经商环境好，一般无事不扰，明确首违不罚

一般流程是通知整改，警告，第三次才罚款。

论坛辩解：

1-用户发布付费阅读贴子，是知识付费，不属销售的范畴，用户也无法提现。

2-发布的信息是知识，不是销售广告，而且内容经过了审查。

如何收款

1-你自己官方公司收款接口,易支付,码支付,虎皮椒,这些上面说过了

有的公司，申请，也能进件，和虎皮椒差不多，就是他给你开了个商户，你在它的主体下

运营杂项

1-bing的站点图标，有格式要求，可以查一下，但是明明符合还是不收录，可以去bing站长平台去申诉就行了

站点安全

简单配置

低调做站，一般用户不会攻击的，只有那些it群，吹牛逼的站长群的同行业的人，才大概率攻击你。所以不要在那种地方暴露自己的网站。

在搞站点安全前，一定需要有相关知识，不然杂七杂八的都设置，导致网站访问不了，根本无法排查是哪方面的问题。（比如必须搞清楚，什么是服务器的系统防火墙，什么是nginx/apache防火墙，什么是cdn厂商的防火墙，什么是程序软件层面的防火墙等等）

如果你是wordpress程序，一定要把wp-config.php文件的权限设置为600权限，你设置个用户能访问，人家直接看你数据库账户密码等。

如果是wordpress程序，把xmlrpc.php的访问关了，教程：https://www.wpdaxue.com/what-is-xml-rpc-why-and-how-to-disable-it.html，也可以在cdn防火墙中设置关了。

安装WPS Limit Login防住攻击者爆破，和wps隐藏登录隐藏登录地址。

改wp-config权限为600和 .user.ini 设置为644，.htaccess为644一些其他文件权限。

find /www/wwwroot/ -type f -perm 0777可以用此命令查询路径下777权限文件有哪些

还可以安装一个wordfence安全插件：https://cloud.tencent.com/developer/article/2210599和https://www.1deng.me/wordfence-security.html

什么设置修改后台访问端口和地址；后台用户名不要与前台一致；

设置后台登入次数等限制，即使找到后台入口也爆破不开；禁止国外ip访问（dns层面（直接国外ip访问，主机地址解析到127.0.0.1），防火墙层面）；

修改ssh连接端口（宝塔-安全-ssh管理；记得服务器防火墙放开新的ssh端口）；安装宝塔安全插件防止ssh爆破（fail2ban）；隐藏服务器信息，关闭不必要的端口；

https；及时更新系统（yum -y update）和环境；定期扫描木马，不用盗版插件与代码；

禁ping等(对象是服务器，你在宝塔（也可以腾讯云直接防火墙禁ping，有很多种方式，别禁了记不得去哪可以打开）把源服务器设置了禁ping，不代表cdn也禁ping，cdn是另外的服务器)；

设置域名禁止转移；宝塔的安全软件全安排上（win系统可以用安全狗）；

不需要的端口就关了（比如开了https，80端口就可以关了）

宝塔将网站敏感文件路径设置为加密访问；开启域名禁止转移；设置网站和数据库定时备份任务（记得还要定时下载到本地）等等这些都基操。

windows吃性能，而且没有Linux安全，虽然是可视化界面简单，不过一般选用Linux

渗透

被渗透了黑客会干什么？

一般就是拿你数据库权限，拿数据和挂马。

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day,等各种方法获得网站管理员账号，然后登录网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当用户访问被加入恶意代码的页面时，用户就会自动的访问被转向的地址或者下载木马病毒。

措施：

1-网站没有太大的业务价值的时候，装一些waf（比如wp程序就搞个wordfence插件等），每天备份就行，被黑了大不了重装。

2-宝塔面板或者什么权限，全部开双重验证，如宝塔：设置指定地址和端口才能进管理后台，然后还得输入一次页面方法密码，然后输入面伴登录账户密码后，还得手机二次验证。

3-没用的端口全部关了。

4-网站有业务价值后，可以找专业人士渗透测试。（比如“知道创宇”，专业的网络安全服务，为各大厂和各大国家网站提供网络安全服务，https://www.knownsec.com/）

每日措施：

每天备份到本地，网站文件和数据库备份

服务器的定时备份没用的，被渗透了，如果有足够权限，人家备份都给你直接删了，所以还是每天备份本地比较好。

如果被黑了，大不了直接重装所有东西，反正数据每天备份了，都还在，大不了数据漏了，这个没办法的，那么多大厂都漏数据。

备份没用阿？备份的文件木马在里面了，你也不知道是哪个是木马，重装还是中毒的。

那就直接不要那些文件了，如果是wp程序，你每天保存好主体配置文件和导出wp的文章，然后全部重新搭建，最后导入配置和文章即可。

首先，在旧的网站里面，通过后台的设置——导出，仅导出文章；

https://www.zibll.com/forum-post/27377.html导入导出教程

第二步：创建一个新的网站，在新的网站后台，点击设置，导入，选择导入上一步导出的备份文件；

第三步：将旧网站下面的uplaod文件夹复制到新网站并覆盖；

第四步：安装Media Sync插件，同步一下媒体库文件

https://wordpress.org/plugins/media-sync/

教程：https://www.zibll.com/forum-post/27377.html

重装和迁移差不多：

网站迁移https://www.bilibili.com/video/BV1wt411N7Yd/（别瞎搞，里面有注意事项，比如如果要批量改数据库里面的东西，要用换域名小工具(https://www.zibll.com/19369.html)，比如子比老唐的，否则直接sql修改会有序列化问题导致修改失败）

注意:除链接内:https://starcheng.xyz/252.html提到出现问题的注意事项

1-页面出现Fatal error: Allowed memory size of 536870912 bytes exhausted (tried to allocate 536870920 bytes) in /www/wwwroot/xxx(你的域名).cn/wp-includes/class-wpdb.php on line 1588

解决：这可能是缓存插件间的冲突，把所有涉及缓存的插件和配置删除，然后重新配置；如果是一安装OPcache就出现上述情况或者cpu占用高，那基本上就是php版本和php拓展的OPcache有bug冲突，换个php版本即可。

2-页面中图片出错，图片地址出问题。

解决：查看你的wp中的cos插件等影响图片资源前缀和参数等的东西，保证设置正确。

3-如果你是wordpress程序，迁移后，文件默认权限755，一定要把wp-config.php文件的权限设置为600权限，你设置个用户能访问，人家直接看你数据库账户密码等

改wp-config权限为600和 .user.ini 设置为644，.htaccess为644一些其他文件权限。

1-每天去site:www.你的域名.com去看看搜索引擎的收录，有时他们渗透进来不会改动你的东西，但是会用你的服务器和域名发布一些违规的网页，如果收录了，你的整个站点可能都会被k，所以发现不对的内容一定要及时删除，然后去搜索引擎站长平台把其链接拉入死链。然后排查问题所在，解决不了就重装。

2-防止挂马，自己每天多去访问网站，看看有没有被挂马跳转一些违规站点。

3-每天去看看服务器负载是否正常。

4-因为被黑，黑客会有数据库权限，他可能不大规模搞你，只是给某个账号加钱加积分等，所以每天去看看明细，及时发现异常。

提现一定要谨慎，必须人工审核，因为你数据库可能被黑了，他直接能给自己充vip加钱，每天要注意这些异常

5-只要黑客权限够高，他可以改你的任何内容，所以包括支付，每天去看看自己的收款功能是否正常。

防护

1-一定不要乱执行命令和脚本，什么测速和测cpu的脚本，除非你能看的懂，实在要测，测完直接重装。

禁用路径 包含 /xmlrpc.php

2-wp-config.php权限设为440（仅所有者可读）

3-普通人，就开启宝塔的加固和防篡改，改ssh端口，failban防爆破等等，不用破解和不知名加密程序就行了，其他的听天由命，没办法。如果你不需要在你的电脑上ssh登录服务器，其实ssh端口可以直接关闭的，你照样可以在宝塔控制台执行命令，因为这是本地，即使你关闭了ssh端口，在本地直接执行，默认端口是打开的。

4-一个服务器是由很多个用户组的

有很多个用户组，比如mysql，redis和root和www等等，每一个服务基本都有单独的用户组。常见系统和服务用户（安全/正常）
root：系统管理员
daemon、bin、sys、sync、games、man、lp、mail、news、uucp、proxy、backup、list、irc、nobody 等：系统自带用户，用于系统服务隔离
www-data、www：Web服务用户（如nginx、apache、宝塔等会用到）
mysql、redis、memcached：数据库和缓存服务用户
ubuntu、lighthouse：你的云服务器默认用户和宝塔/轻量云相关用户
systemd-*、messagebus、syslog、uuidd、tcpdump、tss、landscape、fwupd-refresh、usbmux、sshd、_chrony、pollinate、polkitd、dhcpcd 等：系统服务用户，用于各种守护进程和服务
bt-monitor：宝塔面板相关用户
smmta、smmsp、_mta-sts：邮件服务相关用户

用户组，公共组，所有者组，root用户等都是你服务器中系统的用户，和前台客户（访问你网站的人）无关

用户组的所有者和用户组和公共，都是系统的用户，和平台网站用户访问权限没关系

1. 宝塔环境下的用户情况
   在宝塔面板的典型环境中：
   root用户：系统管理员，有最高权限
   www用户：Web服务器用户，专门用来运行网站
   www组：Web服务器用户组
2. 文件所有权的两种情况
   情况A：文件所有者是root
   如果你用root用户创建/管理文件
   所有者：root
   用户组：root
   公共：其他系统用户（包括www用户）
   情况B：文件所有者是www
   如果文件是Web服务器进程创建的
   所有者：www
   用户组：www
   公共：其他系统用户（包括root用户）
3. root组和www组的关系
   root组：root用户的主组
   www组：Web服务器用户的主组
   它们是两个不同的组，不是包含关系
4. 实际例子
   假设你有一个网站文件：
   Apply to jquery.parti...
   这表示：
   所有者：www
   用户组：www
   公共：其他用户（包括root）
   如果root用户想修改这个文件，需要：
   要么用chown命令改变所有者
   要么给公共用户写权限（不推荐）
5. 为什么宝塔用www用户？
   安全考虑：Web服务器用专门的www用户运行，而不是root
   权限隔离：即使网站被攻击，也不会影响整个系统
   最佳实践：这是Linux Web服务器的标准做法
6. 总结
   root组和www组是两个独立的组
   宝塔环境下，网站文件的所有者可能是www（更安全）
   公共用户包括root用户，但不包括www组内的用户

服务器中，有很多个用户，比如root和你自己创建的git用户等等，他们的密码是可以不相同的，我们可以在sudoers文件夹中为其用户配置相应的权限。我们也还有系统服务用户nginx等，这些不是用来登录的，所以没有登录密码

5-攻击者常见方式

攻击者常用的方法就是先通过漏洞上传一个“一句话木马”PHP文件到你服务器，然后通过POST请求访问这个PHP文件，让它执行POST中的恶意代码。
一句话总结：
> 一句话木马就是攻击者上传的一个极简PHP脚本，通过POST参数远程执行任意代码，实现对服务器的控制。
典型一句话木马示例：
<?php @eval($_POST['cmd']); ?>
攻击者上传后，访问这个文件并POST参数cmd=恶意代码，服务器就会执行cmd里的内容。

但是通常你用了各种防护措施，比如宝塔防火墙和你的程序有正确的安全配置，传的木马会被防火墙拦截，或者只是存在于缓存目录temp内，我的temp就出现过木马，不知道怎么上传的，按理nginx防火墙会拦截，但是好像被绕了，但是被服务器其他机制或防火墙拦截在了temp缓存目录下，因此虽然这个文件是777权限但是没暴露在外面，无法被外界用户可以访问到，所以攻击者就post请求不到，自然无法执行恶意代码。

不知道是用的插件有问题导致的，还是主题上传有漏洞等。

反正原理就是攻击者先利用漏洞，上传了一个一句话木马，然后通过请求这个木马，通过传入参数，就可以执行操作，就像正常用户可以请求一个php文件，其实就是有nginx或者www用户组的权限，然后执行，但是那个php是我们自己的，所以是安全的，攻击者的木马php进来了，被请求，就是恶意的，会执行恶意代码，然后执行它们的权限组是www，那么攻击者就得到了www权限组，可以通过此权限进行修改我们的网站文件等操作，我们可以通过防篡改阻止，但是它还是可以进行其他操作，比如用你的服务器的www权限去请求其他服务器，进行ddos估计等。

既然没办法直接访问tmp就没办法利用，那传上去干什么，因为tmp是777是最好利用的，不知道攻击者是什么方法传上去的，但是传到tmp是最简单的。所以传到tmp。
攻击者当然更希望把木马直接上传到网站目录（比如/www/wwwroot/yourdomain.com/uploads），这样可以直接通过Web访问和执行。但实际情况中，能不能传到网站目录，取决于你网站的安全策略和上传功能的实现。
1. 为什么有时只能传到 /tmp，而不是网站目录？
1. 上传功能/插件的实现方式
很多网站、CMS、插件的上传功能，上传文件时会先把文件存到系统临时目录（如 /tmp），然后再做类型校验、重命名、移动到网站目录。
如果校验通过，文件才会被移动到网站目录；如果校验不通过，文件就留在 /tmp 或被删除。
攻击者如果上传的木马被校验拦截，文件就只能停留在 /tmp，无法进入网站目录。
2. 网站目录权限更严格
网站目录（如/www/wwwroot/yourdomain.com/uploads）通常权限更严格，只允许特定用户写入。
如果权限设置得当，攻击者即使有上传漏洞，也可能只能写到 /tmp，无法写到网站目录。
3. 上传白名单/黑名单机制
很多上传功能只允许图片、文档等安全类型，不允许脚本文件（如.php、.asp）上传到网站目录。
攻击者上传的木马被拦截，只能留在 /tmp。
4. 服务器配置/安全软件拦截
有些安全软件、WAF、网站防篡改等会拦截可疑文件写入网站目录，但对 /tmp 目录不做限制。
2. 攻击者为什么还要利用 /tmp？
/tmp 权限宽松，容易写入，是攻击者常用的“落地”目录。
攻击者有时会利用文件包含漏洞（如include($_GET['file'])），让网站主动去执行 /tmp 下的木马。
有些攻击者只是先把木马写到 /tmp，后续再想办法提权、横向渗透。
3. 如果上传到网站目录会怎样？
如果攻击者能直接把木马上传到网站目录（如/uploads），风险更大，因为可以直接通过Web访问和执行。
所以安全的上传策略是：只允许安全类型文件上传，上传目录禁止脚本执行，权限最小化。
4. 一句话总结
> 攻击者更希望把木马传到网站目录，但如果上传功能有校验、权限设置严格、目录禁止脚本执行，攻击者只能把木马写到 /tmp，这时只有通过文件包含等漏洞才能利用。

nginx防火墙在其前面吗

你的问题非常关键，Nginx防火墙（WAF）到底是在“文件写入 /tmp”之前还是之后起作用？
1. Nginx防火墙（WAF）的位置
Nginx防火墙（如ModSecurity、Naxsi、宝塔WAF等）属于Web服务器层的防护。
它在HTTP请求到达PHP等后端程序之前，对请求内容（如URL、Header、Body、上传的文件内容等）进行检测和拦截。
2. 文件上传流程中的拦截时机
用户发起HTTP上传请求（POST multipart/form-data）。
Nginx接收到请求，WAF模块（如ModSecurity）会分析请求内容，如果发现明显的攻击特征（如恶意后缀、特定payload），可以直接拦截请求，不会继续传给后端。
如果WAF没有拦截，Nginx会把请求转发给后端（如PHP-FPM）。
PHP接收到请求后，会自动把上传的文件先写入临时目录（/tmp），然后应用层（如WordPress、插件）再做进一步校验和处理。
3. 结论：Nginx防火墙是在“写入 /tmp”之前起作用
只要WAF能识别出恶意上传请求，就能在文件写入 /tmp 之前拦截掉，文件根本不会落地。
但如果WAF规则不够严格、被绕过、或攻击手法新颖，WAF没能拦截，文件就会被PHP写入 /tmp，然后再由应用层决定是否保存到网站目录。
4. 为什么有时WAF没拦住？
攻击者用分片上传、双后缀、内容混淆、绕过技巧等，WAF规则没能识别。
WAF配置不够严格，或有“白名单”放行。
上传的文件本身没有明显恶意特征，WAF无法判断。
5. 一句话总结
> Nginx防火墙（WAF）确实在文件写入 /tmp 之前起作用，但如果WAF规则被绕过或不够严格，恶意文件还是会被写入 /tmp。多层防护和严格上传校验依然必不可少。

然后木马出现在tmp一般是请求漏洞，比如nginx防火墙没拦住，不过最终因为各种机制，被拦截了，但通常不是用的插件有后门导致的吗，因为插件你已经安装了，如果有后门，插件作者完全可以进入你的网站目录，已经获取你更高权限了，没必要再上传什么php，然后这个php还被拦截停留在temp中

 因为如果只是/tmp下出现木马，网站目录和插件没被篡改，更可能是网站存在漏洞被攻击者利用，而不是插件自带后门。插件有后门的话，攻击者会直接在网站目录下操作。
 
 
 但是就算是在temp中也膈应，总想去除它，怎么办呢？
 
 1-让它上传不进来（可能没办法，因为是tmp，后续多了解原理再说,能做的就是各种软件都及时更新，不用盗版代码，不需要的上传功能删除，明确上传文件类型等等）
2-让他上传进来也执行不了（本身就执行不了，因为temp中文件没有后缀，不是.php 后缀,php 根本不会解析它，但是可以进一步通过tnoexec,nosuid什么的进一步明确禁止执行，但是我好像因为tmp不是挂载的，而是普通文件夹什么的所以设置不了，无所谓了）
3-及时发现上传进来了（定期扫描全盘包括这个tmp，而不是只扫描网站）
4-让外部无法访问，即使上传进来了也访问不了，就执行不了，可以通过nginx配置（我的nginx等等配置没问题，外部访问不了的）


为什么大部分木马传在tmp因为就tmp是777权限，是最容易上传的，然后各种被拦截的文件都是缓存在这的。

如果文件存在Request["a"] + eval，基本上是木马，eval是一个非常危险的函数，一般代码中不会出现

可以通过看temp中那个文件的详情，可以看到创造组是www，是 php-fpm 运行时产生的，就能大概确定是通过上传接口上传过来的，但是被识别到是不允许上传的php文件，就被拦截在temp了

对了原先那个攻击问题，木马文件查看详情发现权限组是www，是不是说明是通过nginx网络请求等方式上传的，或者www组中文件有后门也有可能对吧

你的理解完全正确，下面详细解释：
1. 木马文件的权限组是www，说明了什么？
www（或www-data）组/用户，通常是nginx、php-fpm等Web服务进程的运行用户。
如果木马文件的属主/属组是www，说明这个文件是通过Web服务进程写入的，也就是通过网站的某种“网络请求”方式上传或生成的。
2. 可能的攻击途径
A. 通过网站漏洞上传
攻击者利用网站的文件上传漏洞、任意文件写入漏洞、远程代码执行漏洞等，通过HTTP请求让nginx/php-fpm进程把木马写入服务器。
这种情况下，木马文件的属主/属组就是www（或www-data）。
B. 网站目录下已有后门文件
如果网站目录下已经存在后门文件（比如某个插件、主题、源码被植入了后门），攻击者可以远程控制这个后门，让它以www用户的权限写入新的木马文件到服务器任意位置（如/tmp、uploads等）。
这种情况下，即使你没有新上传文件，后门也能生成木马文件，权限同样是www。
3. 不太可能的情况
如果是服务器被提权，攻击者拿到root权限，写入的文件属主/属组可能是root或其他用户，而不是www。
如果是通过FTP上传，文件属主/属组可能是ftp用户或你设置的其他用户。
4. 结论
> 木马文件的权限组是www，说明它是通过nginx/php-fpm等Web服务进程写入的。
> 这通常意味着：
> 1. 攻击者通过网站漏洞（如上传、写入、代码执行）上传了木马；
> 2. 或者网站目录下已有后门文件，攻击者远程利用后门生成了木马文件。
5. 安全建议
彻查网站目录，排查是否有后门文件、异常php/js文件。
检查所有上传接口和可写目录，加强上传验证。
查看web访问日志，分析木马文件是通过哪个接口、什么时间被写入的。
定期备份和安全扫描，及时发现异常。
一句话总结：
> 木马文件属主/属组为www，基本可以确定是通过Web服务进程（如nginx/php-fpm）写入的，要么是网站有漏洞被攻击，要么是已有后门被远程利用。

但是在temp的木马一般没啥危害，就像有人在你云存储丢了个木马,你会关心他吗？

6-禁止php等文件上传，在主题设置中，还有各自waf审查中设置好

7-网站被入侵了，数据库可以直接复用吗？能被插入木马吗？

一般可能性较少，现在waf和程序对这方面做的很好，sql注入的概率很小，但如果你没有防护措施和用的很老的程序，也有可能。

数据库可能被写入木马吗，怎么识别数据库有没有被写木马，网站木马我可以用宝塔的木马扫描等，那么数据库怎么知道?

你的问题非常好，很多人只关注网站文件的木马，却忽略了数据库中也可能被“写入木马”。下面详细解答：
1. 数据库被写入木马的常见方式
一句话木马/后门代码被写入数据库字段（如文章内容、评论、设置项等），
例如：<script>eval(unescape('...'))</script>、<?php eval($_POST['cmd']); ?>
攻击者利用SQL注入，将恶意代码写入数据库。
后台管理疏忽，上传的内容未做过滤，直接存入数据库。
2. 数据库木马的危害
前端型木马：如XSS脚本，用户访问页面时自动执行，窃取Cookie、劫持会话。
后端型木马：如PHP代码片段被读取出来并eval执行（常见于模板、插件不安全的情况下）。
3. 如何识别数据库中是否有木马？
A. 手动排查法
导出数据库，用文本编辑器（如Notepad++、VSCode）全局搜索敏感关键词：
PHP木马：<?php、eval、base64_decode、system、shell_exec、assert、preg_replace、gzinflate、str_rot13 等
JS木马：<script>、eval(、unescape(、fromCharCode、document.cookie、window.location 等
重点检查：文章内容、评论、网站设置、插件自定义字段等。
B. SQL语句排查法
以WordPress为例，查找含有PHP代码的内容：
Apply
查找含有可疑JS代码的内容：
Apply
C. 利用安全工具
部分安全插件/工具支持数据库内容扫描，如Wordfence（WordPress）、一些专业的Web安全扫描器。
但大多数“木马查杀”工具只查文件，数据库内容需要手动或用SQL脚本排查。
D. 监控异常行为
网站页面突然出现异常弹窗、跳转、广告、恶意脚本，极可能是数据库内容被篡改。
网站被搜索引擎提示“有恶意代码”，也可能是数据库内容被注入了木马。
4. 如何防止数据库被写入木马？
严格过滤和转义用户输入，防止SQL注入。
后台内容管理要有审核机制，防止恶意内容被直接存入数据库。
定期备份和比对数据库内容，发现异常及时恢复。
使用安全插件/防火墙，拦截可疑请求。
5. 一句话总结
> 数据库同样可能被写入木马，尤其是通过SQL注入或后台上传。要定期用SQL语句或文本搜索敏感代码，结合网站异常表现综合判断，不能只依赖文件查杀。

8-看有没有未知的定时任务，宝塔那个定时任务是看不到的，你如果确定可能被攻击了，要通过执行命令去查看所有定时任务，看看有没有未知的，特定时间让服务器发起请求等定时任务。

攻击者通常不会用宝塔面板添加定时任务，而是直接在系统层面（如root用户、其他系统用户）添加crontab任务，或者直接修改系统的定时任务配置文件。
这些任务不会显示在宝塔面板的定时任务页面，但会在系统的crontab或相关目录下。

9-ftp（用于本地上传文件到服务器和下载服务器文件到本地），我们都是用宝塔上传文件，用不到ftp，直接把ftp功能关了，避免问题。

10-救网站权重，向各百度搜索引擎提交申诉，并描述被挂马的情况

向网站搜索引擎安全平台采取申述处理，注明公司网站被挂马的根本原因，及处理状况，属实意见反馈给百度搜索引擎，百度搜索引擎服务提供商，百度搜索引擎会依据具体情况采取处理，这儿叙述很关键，务必要属实的把经由，详细描述，采取有关递交，快的情况下1个星期就能修补关键词优化数据信息，除去申述以外，这还不可以立即发布，那只能在网页快照中采取投诉了，几乎隔天就发布，不易提示风险公司网站。

11-如果确定被入侵，怎么办？

尽量直接重装，复用数据库就行了，重装比分析容易多了，所以一定要养成备份的习惯，网站半天一天一次备份，数据库一小时一次备份。因为分析的话不懂代码很难的，真想细致排查，单单扫毒是不够的，只能用代码和原始代码对比等等措施，反正很麻烦，不如重装。

因为随时需要重装，所以备份和每个功能的备份和插件的数据备份都很重要。备份只能备份代码，如果服务器平台有快照功能，可以直接快照，快照是把服务器所有环境也保存了

找人或者找专业的网站安全公司来进行处理，国内SINE安全，绿盟，鹰盾安全，深信服，启明星辰都是比较靠谱的。1000内

搜发现的病毒为关键词，搜全局文件，搜病毒创建时间段的日志和操作

数据库也可能被挂马的，得自己去分析，和看攻击者有没有数据库的权限，复用数据库，可以先仔细分析数据库内容有没有被挂东西。

12-一些文件权限必须设置644等权限，不能所有用户组都能访问

第一个原则：有写入权限的目录，不给动态脚本的执行权限。
第二个原则：有执行权限的目录，不给写入权限。
还有一个原则，php-fpm/nginx 进程所使用的用户，不能是网站文件所有者。 
凡是违背这个原则，则不符合最小权限原则。

文件：执行权限（x）表示可以运行程序
目录：执行权限（x）表示可以进入目录

读（r）：可以查看文件内容
写（w）：可以修改文件内容
执行（x）：可以运行文件（如脚本、程序）
对目录的权限：
读（r）：可以列出目录中的文件
写（w）：可以在目录中创建、删除、重命名文件
执行（x）：可以进入目录（cd命令）

13-攻击者为了什么？

不是控制你服务器挖矿；就是勒索，比如拿你数据库文件勒索；要么就是挂广告让用户跳恶意站点

或者同行请来的，和ddos攻击一样，影响你经营

14-如果有用户提现功能，一定人工审核，因为这个很敏感，你不是特大公司，没那种能力百分百防护，一定不能直接打钱，万一被黑了呢

15-被入侵的常见原因

弱密码问题（最常见），软件漏洞（php或者mysql或者nginx或者wp或者本身主题和插件的漏洞），配置不当（权限过大：文件权限设置为777等），使用破解版软件或者插件（里面有后门）

16-有加密授权的插件尽量不要用,大把的作者加后门，虽然它平时也不控制你，但就是有后门，有加密的插件尽量别用，除非对方可信度极高，比如你认识，能找到人等等。

然后配合那种执行运行的查毒软件测试，或者上传各种查毒网站去查毒，或者上传到沙箱服务器测试一段时间（最稳，但是一般人也不会花这么多时间），我的做法是让 AI 尝试反混淆并分析，效果还不错。

不过ai反混淆分析是针对混淆，如果是加密了，就没办法

所以加密风险比混淆高，是加密的尽量不用

如果你用的加密插件有后门，后果：

插件作者通过后门，几乎拥有www用户组权限，那么就能改你网站内容，当然这种操作会被你的其他防护措施拦截，比如防篡改软件，但这只防了一方面。或者被644这种权限组拦截，但是大部分人是不会配权限的。

插件作者还可以通过插件功能，比如是加积分插件，作者留了漏洞，直接可以给任意人加积分

还可能写了获取数据库内容的代码，获取你的数据库内容

总而言之绝对问题很大，就算你是专业的，也不可能通过配置，让一个本身有后门的插件对你的业务毫无影响。
而且配置的时候，设置的那种严谨的规则，也可能导致其他正常功能不可用，所以最直接的方法是不用加密插件，开源的也提前审计有没有安全漏洞

实在要用高风险的sg加密插件，一扫毒和沙箱真实环境测试一段时间，二宝塔加固和防篡改等安全软件全部安排上，三必须找得到作者，四精细化配置权限（普通站长没法配），然后听天由命吧。

17-不要用破解版插件，实在要用，尽量自己破解，不要用别人的包，实在要用，就各大查杀平台一个一个丢进去查，过一遍检测。谨慎一点的，可以先丢另一个测试的真实环境看看会不会异常，不过你有这功夫，肯定用正版插件了。反正就是你看不到所有源代码的东西，别乱安装。

18-即使是开源代码，比如某个功能加到网站上，也要看这个代码是否符合安全要求，也不能乱放的，虽然代码本身没有木马，但是可能存在安全漏洞，后续可能被攻击者人利用。

比如你安装一个开源的发积分的插件，这个插件本身没后门，作者没恶意，代码全开源
但是你把插件安装到网站目录了，每个用户都能请求对应功能
如果功能代码有问题，恶意用户就可能找到漏洞，然后无限刷积分

19-发现有木马，千万别以为删了就没事了，也千万别以为开启安全软件就行了，除非是在temp中，以为temp中删除了，人家再通过上传接口上传进到temp也没关系，因为在temp就证明在某个环节拦截了攻击者的操作，攻击者本身肯定是想上传到网站目录的。不过就算在temp中你最好也审核一下安全，看看通过什么路径上传上来的，有没有危险，要不要提前加强防护

以为删了那个文件，高危是没了，但是攻击者可能还是已经留了后门在你的程序中，你也找不到，所以会反复出现高危文件，开了安全软件后，入侵者原先留的后门操作被拦截了，就不出现高危文件了，但是后门一样可能还是存在的

20-如果你在网站源码、插件、主题、上传文件等地方发现了eval，一定要高度警惕，尤其是和base64_decode、assert、system等函数一起出现时。

eval = 把字符串当代码执行
极度危险，容易被黑客利用，绝大多数正规代码都应避免使用
网站被挂马、后门、webshell常见特征就是用 eval 执行恶意代码

21-雷池和宝塔waf等产品，除了防cc攻击，防的更多的是渗透攻击，比如你程序本身有漏洞，攻击者上传木马等等，雷池可以过滤。

22-防火墙位置

1. 宝塔系统防火墙
部署位置：在你的服务器操作系统内部（通常是Linux），本质上是对iptables/firewalld等系统防火墙的图形化管理。
作用范围：只保护本机，只能控制进出本服务器的流量。
管理方式：通过宝塔面板Web界面设置端口、IP白名单/黑名单、流量限制、端口转发等。
生效时机：数据包已经到达你的服务器，才会被宝塔防火墙拦截。
失效场景：如果服务器被DDoS攻击，流量已经进入你的服务器，可能导致带宽被打满，服务器卡死，宝塔防火墙也无法生效。
2. 服务器运营商防火墙（云防火墙、安全组）
部署位置：在云平台的网络边界（如阿里云、腾讯云、AWS等的安全组、云防火墙），属于云端网络层。
作用范围：在流量到达你的服务器之前，就可以拦截、放行、限制流量。
管理方式：通过云服务商控制台设置安全组规则、云防火墙策略等。
生效时机：数据包还没到你的服务器前就被拦截，不会消耗你的服务器带宽和资源。
优势：能有效防止DDoS、端口扫描、暴力破解等攻击，保护服务器资源不被消耗。

23-防护措施

https://bypass007.github.io/Emergency-Response-Notes/Summary/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.html入侵排查

网站备份

一个网站最重要的就是数据，如网站文件和数据库。

我们通常会在宝塔上开启每天的定时任务，网站和数据库备份。但这还远远不够，当黑客将我们服务器黑掉，数据全部删除，或者我们用的服务器运营商突然跑路了，那我们的数据就全没了。

所以我们要备份一份数据到服务器外。

方法1-每天自己去下载一份网站文件和数据库备份到本地电脑硬盘中。（太麻烦）

方法2-使用腾讯云的cos存储桶或者阿里云的存储桶，然后在宝塔面板上的应用中心下载对应存储桶应用，填入相关信息，再宝塔的定时任务把数据自动备份到存储桶中（注意一定要私密访问）。

教程：https://www.zibll.com/forum-post/34004.html

费用：存储桶是上传不产生流量的，所以我们备份不需要流量计费；但是有存储费用，有套餐包的不用管，因为套餐包所有存储桶都共有，没套餐包，根据情况购买，不买按量计费也不要什么钱，我们备份只保留三份就行了；读取和写入请求费用，根本不用管，我们备份的请求费几乎忽略不计。

DDos攻击

下面的很繁琐，但是别管其他七里八里的，大部分攻击流量来自海外，禁止海外访问是最重要也是最有效的一步。

所有的措施只是追求一个性价比的防御方式，但是惹到大佬了，肯定防不住，大型攻击只有上高防，不然腾讯云这些大厂的高防硬件服务早破产了。

DDOS攻击方式

无非就4种

1-找服务器源ip然后ddos

2-cc攻击

3-刷cdn流量

4-刷存储桶流量

tip：

1-下载一个最新的恶意ip，然后全部丢到防火墙里面拦截。

2-黑洞：就是机房检测到你的ip在被攻击，直接把你ip停了。

其实ddos流量是打到机房了，造成运营商堵塞，运营商把你ban了

通常这种是level4的ddos，也就是第四层传输层的攻击，通常为udp，tcp，syn等协议攻击

3-ddos就是资源换资源，沾满你的流量带宽（ddos），或者cpu和内存（CC）。

4-cdn所说的盾，就是用户一访问就跳一个滑块验证码等验证用户真实性，用来防cc的。

了解ddos，必须先学习通信协议，http,tcp,udp,dns,ip等等协议。

攻击方式：https://www.bilibili.com/video/BV1Ad4y11744

攻击：https://space.bilibili.com/282616786/

防御：https://www.bilibili.com/video/BV16m4y1a7se/

cc攻击：是web应用层层面的，打的http/https，一般是大量ip与服务器建立了真实连接，不断请求慢接口，让你服务器cpu内存和io等处理不过来，导致网站交互功能（用户登录注册，发评论等）瘫痪；需要用软件防火墙来防御。

cc攻击一般就是level7的ddos，也就是打了应用层。

解决：

最简单：

国内ip：找个好waf如宝塔服务器独立部署的waf；上带盾和人机验证的的cdn，被打就上5s盾和验证；

本地服务器部署的nginxwaf：https://github.com/ADD-SP/ngx_waf/（和宝塔nginx防火墙差不多）

宝塔独立部署waf：https://www.kancloud.cn/kern123/cloudwaf/3198567（面对cdn服务套餐不够高级没有人机验证，而且宝塔nginx防火墙运行的情况下，下发人机页面等操作就让服务器资源耗尽的情况（防火墙在工作，但是请求太多，人机验证的步骤就让源服务器受不了），我们可以自己设置一个独立waf服务器），它和雷池差不多，雷池：https://waf-ce.chaitin.cn/，就是在源站前再验证一下cdn发来的所有请求，在源站前进行人机验证等操作。

其实感觉不然买个带waf的cdn就行了，功能目的是差不多的，后面就是看成本和业务实际需求去决定哪种方法好了，也可以带waf的cdn和雷池都部署上。

国外ip：解析到cloudflare的cdn上或者直接禁止国外ip；

cc因为需要真实的连接，所以需要真实的ip，而国内是没那么多肉鸡的，就算有价格也较高，所以禁止国外ip是很有效的防cc措施。当然也可以解析到cloudflare，也能有效防御。

1-设置并发限制。

2-统计每个ip的请求总时长，超过阈值直接拒绝连接。

3-拉黑ip

http洪水攻击

• HTTP请求：请求网站的页面或资源，是最常见的HTTP洪水攻击形式。
• POST请求：向服务器发送数据，例如填写表单。
• HEAD请求：请求网页的头部信息，不返回实际内容，消耗较少的网络带宽进行攻击。
• 其他类型的HTTP请求，如PUT、DELETE等，根据目标网站的特定功能和漏洞来选择

cdn可以帮源服务器过滤udp和tcp这些四层，但是过滤不住http洪水啊？他连源ip都没有就可以攻击我。

服务器防火墙，cdn防火墙，cdn人机验证盾，禁止国外ip等措施。

其实CC攻击就是伪造正常用户的请求，我们识别区分正常用户和攻击者，再把攻击者拦住或封禁即可，如cdn人机验证盾就是拦住攻击者；除了人机验证盾，单个ip再限制连接请求限制，超过某个阈值再进行人机验证或者直接封禁。

但是攻击者也会去打码，等一系列手段去通过人机验证，你换一种人机验证方式，他也可能更新绕过方法。

你设置限制请求，他就上更多的ip，模拟正常，更精准的慢速请求面向某个慢接口攻击。这就只能分布式和负载均衡什么的源服务器硬抗了，因为cdn也处理不了动态请求。

本质就是资金精力的比拼，但这种明显是有商业竞争行为的恶意攻击，攻击者本身付出的代价也很高。

面对平常攻击，禁国外ip，再使用cloudflare或一个厉害防御的cdn，配合自身防火墙防御（如只允许cdn的ip访问服务器）即可。

注意：

如果你采用国内用户走国内cdn，国外用户走cloudflare，服务器防火墙设置了仅cdn的ip可访问，但在cc攻击测试中，发现资源cpu和内存还是占满了；这不是cloudflare的错，只要你正确设置了规则，它是肯定能防住的。

资源沾满的原因，是你的国内cdn的防cc能力不行，也许你需要升级国内cdn上滑块验证码识别攻击者，才能达到免费cf的效果，但是有这种服务的cdn价格需要大几百一个月。

cloudflare的缺点就是：国内访问速度的问题，可以优选节点等操作，但是还是慢一点。

cf有一个中国网络，在境内也很快，但是目前还没有大众化，应该是给企业定制的[https://www.cloudflare.com/china（不是个人的，必须是Cloudflare企业版（Enterprise）客户，这是使用中国网络服务的前提，需要与Cloudflare签订企业版合同，并向其提交使用中国网络服务的申请）

当你面临大攻击，但是考虑cf访问速度慢，国内的滑块cc防御又贵的情况下，就可以选择20刀一个月的cloudflare，他的防御能力比国内几百的滑块验证码等还强（这里只说了cc，其他防御能力更加强的不是一点半点），而且cloudflarepro可以进一步优化访问速度。

缺点2：这点无法避免，dns解析生效慢，一般情况下几个小时，有的地区需要24-72小时，而且cloudflare是泛播，当你服务器关机一次，可能会换了ip，那么国内访问者就会取不到正确dns，就会卡。（这不是cf的错，而是国内运营商缓存了dns，导致不取最新ip）

最佳：平时国内用户访问解析走国内cdn（设置禁国外，防止国内cdn扛不住国外攻击，国外正常用户走cf访问速度也更快），国外用户访问解析走cloudflare（设置不禁国外）；有人攻击了(国内高防cdn扛不住的情况下)就立马直接站点全部套cloudflare，然后禁止国外访问。

ns接入和cname接入区别

ns接入是保护全站所有域名，cname接入一个是保护单个域名。每个子域名需要重新添加

还有接入cloudflare可以有更好的dns层面的ddos防护和解析优化（国内得花钱）

但是ns接入dns生效慢，这个生效慢，慢的是接入cloudflare的dns的那个网站的解析。

ns是将此主机记录的dns解析服务交给另一个网站或者服务去进行dns解析

cname是将主机记录解析到另一个网站

tips：cf流量是无限免费的

不管是ns接入还是cname的方式接入，用一个网站A当跳板接入cloudflare的dns解析，通过回退源等方法，让另一个网站B实现接入cf的cnd和防御后（就是开启了小云朵），那么网站A（解析服务器在cf的那个网站）只能正常使用cf的dns解析，无法再正常使用cf的小云朵功能了（也就是实现加速和防御），不知道为什么会错误。

把网站A的服务器和回退源受到防御和加速的网站B的使用同一个服务器，也没用，也是错误。

刷量攻击

配合ngnix和防御脚本，带宽限制（如一个ip某个时间段最多多少流量）去防御，还有每次把攻击ip记录下来，上黑名单。（四层协议攻击上黑名单是没用的）

解决：

1-上cdn，打不到自己的源服务器。注意：这样的话，攻击者可以刷量攻击，cdn流量会让你破产，所以得设置cdn不缓存，请求回源，然后源服务器设置响应请求的一系列带宽限制，如：一小时内只能走多少流量，因为正常用户用缓存一般也没有影响。（也可以配cdn鉴权）

原理：因为cdn用的方案绝大都是nginx，只有http(s)协议能通过cdn到达源站，其他协议一律在cdn处过滤了。这样四层协议完全无法穿过cdn，什么udp 洪水，udp反射，icmp洪水，syn洪水（直接用假ip来请求，不建立真正的连接，但是通过tcp握手机制达到让我们服务器接收大量无用流量，这个其实本机配置下iptables就能防御）都没用。

cdn可以防ddos，因为带宽打在cdn身上；但cdn防不了cc攻击的，cc攻击如：它是发起请求，去让你的服务器操作数据库，但是cdn是没有数据库功能的，所以这个攻击是源服务器在抗，cdn的waf都是通过限制和过滤恶意请求等间接防御。但是cc可以上人机验证，把http的cc请求拦截审核一次再发给源服务器，可以很好的解决cc攻击。

不要用不正规的cdn厂家服务，你不续费，他可能故意ddos你。

2-ddos的udp洪水放大攻击：打的是带宽，UDP是一种无连接的协议，它不需要在发送和接收数据之前建立连接。这使得UDP攻击可以通过发送大量的UDP数据包，占用服务器的带宽，从而导致网络拥塞，影响正常的网络通信。

3-刷量，一般是通过视频和图片刷，可以前端设置用户看到视频和图片那才请求，不要进网页就全部请求，可以进一步防止有人通过视频刷流量，配合你自定义cdn策略比如mp4每分钟速率限制，就可以把速率拉低拉严格

防止泄露源ip：

源IP泄露了，cdn就只有对正常用户起缓存加速和节省带宽作用了。起不到防御udp等ddos攻击的作用了，因为直接打你源ip就行了，流量不需要通过cdn了，随便几下就打死了。

教程：

https://blog.csdn.net/m0_65336233/article/details/127164933

https://blog.csdn.net/honest_run/article/details/126271477

https://blog.csdn.net/qq_45619909/article/details/128946800

https://www.bilibili.com/video/BV1MX4y177BU/

https://www.bilibili.com/video/BV1vX4y1p7Su/

https://blog.csdn.net/qq_23936389/article/details/106345792

https://zhuanlan.zhihu.com/p/645523750

源ip已经泄露

解决方法：如果已被记录，可以更换源ip，开启c设置好dn后再解析更换后的源ip服务（否则可能换了又被立马记录）

注意：更换源ip不一定要换服务器，每台服务器一般是有更换公网ip名额的。如：腾讯云轻量级服务器实例，有一次免费更换ip的机会，去服务器控制台换就行。

1-网络工具查询：

教程：https://www.beiqiangcha.com/news/6527.html

https://search.censys.io/

https://site.ip138.com/

一般这些网址是24h去扫全世界网站的端口和ip，然后进行记录，即使你套了cdn，你的源ip很有可能已经被记录在这些网站中。

解决方法：更换源ip

2-常规ping查询ip或者那些censys查历史解析ip：https://www.itdog.cn/ping/www.xxx(你的域名).cn

一般套了cdn后，ping不出源ip，但也有可能刚加cdn没陆续生效，还是有源ip存在。

历史ip就是你加cdn之前解析到源ip过，那些网站会记录下来

解决方法：一样，换服务器ip然后套cdn，千万不要解析源ip，解析一次可能就被扫描记录了，除非你是高防机器不怕露源。

3-偏远地区访问；或硬刚cdn。

偏远地区访问服务：https://tools.ipip.net/cdn.php

原理：cdn无法覆盖的偏远地区对域名进行访问，一般就会真实ip提供服务，这样就泄露了源ip

原理：直接强行打死cdn（可能性较小），然后回源获取到真实ip。

解决方法：域名解析就根本不要设置源ip提供服务；联系cdn服务商设置cdn打死禁止回源；设置只允许cdn的ip访问源服务器。

4-邮箱地址查源IP

防止邮箱泄露源ip，所以不能用腾讯邮箱发邮件，需要用阿里云企业邮箱

因为腾讯邮箱会在邮箱详情中，带我们的服务器ip。

阿里企业邮箱申请不需要企业营业执照什么的，每个人都可以申请的。

教程:https://www.bilibili.com/read/cv11644429/

20r/1w封的资源包邮件有效期半年，也就是0.002r一条邮件，多买更优惠。（有的人开通就送了资源包，就不需要买了）

我们也可以根本不买，因为他每天都送200封，200封用完才消耗我们买的资源包，但是为了保证服务，还是买1w封的吧。

注意有效期，资源包过期了，得续费才能继续发邮箱，不然每日发了免费的200封就不能发了

邮箱控制台：https://dm.console.aliyun.com/和https://billing-cost.console.aliyun.com/

相比于短信服务的平均0.035r/条，便宜了18倍。

原理：如果网站有发送邮箱的功能，那么接收邮箱者，可以查看邮箱原文，找到发送邮箱服务器的ip地址。

解决方法：腾讯和网易都是不隐藏域名源ip的，可以用阿里的企业邮箱帮助转发邮箱进行藏源ip；或者自己用另一台服务器转发邮件（不建议，麻烦要自己写配置等）

5-子域名或其他域名

原理：a.cn和b.cn都挂在源服务器101.1.1.1服务器上，a.cn加了cdn不会暴露源ip，但是b.cn没加cdn还是会暴露。攻击者找到了对应域名和ip间的联系，就会攻击你。

解决方法：把所有域名都加上cdn；或不要同服务器挂载多个域名；或域名间不相互联系，让攻击者无法判断联系

6-TLS证书

原理：https://www.bilibili.com/video/BV1Hu4y147wW/

教程:https://www.cnblogs.com/linuxprobe/p/14932932.html

证书生成站点:https://www.ssleye.com/选择工具箱的测试证书功能；https://www.ssleye.com/ssltool/self_sign.html在这里生成，记得在更多设置中选择sha256以上的加密程度高的算法，如果是sha1算法，保存证书的时候，你的nginx环境可以提醒证书加密程度太弱。如下提醒：

nginx version: nginx/1.27.1
nginx: [emerg] SSL_CTX_use_certificate(“/www/server/panel/vhost/cert/xxxx.com/fullchain.pem”) failed (SSL: error:0A00018E:SSL routines::ca md too weak)
nginx: configuration file /www/server/nginx/conf/nginx.conf test failed

原理：如果你的网站是宝塔搭建，然后你的域名用了https，有ssl证书，如果宝塔没有设置默认站点，那么你的源ip，https://你的源站IP:443这个站点就会复用你的第一个有ssl的域名的ssl证书，那么就用同一个sha256指纹，人家访问你的域名，得到sha256，然后用证书的sha256搜host就能得到ip

原理：就是访问你的网站，然后看域名的ssl证书的sha256指纹，然后去https://censys.com/和https://crt.sh/去搜你域名或者证书指纹，找到对应的ip和你的证书指纹一样，那就是源ip。

如果查不到，那就再去dns记录网站，去查询你域名所有的dns记录的ip，一个个去访问https://你的源站IP:443，看看有没有证书可以对上主域名。

虽然是由ip获取域名，但是：

市面上很多工具爬虫24小时不停的抓取扫描IP，这类的工具网站通过无差别HTTP/HTTPS请求所有的IP，并将抓取到的IP地址所对应的网站记录到网站，以至于有些攻击者可以通过这类的网站可以直接查询到网站源站IP，因此在搭建网站的时候一定要做好屏蔽安全工作。

排查是否属于上述问题：通过https://你的源站IP:443，如果可以访问并且浏览器左上角锁的标志中显示了你的域名ssl证书,证书详情内有你的域名信息，那么攻击者就知道这个ip是你的此域名的源ip。

解决：

和不让真实ip接入dns，接入cdn后再开启网站一样，在正式部署网站前就做如下操作（否则已经被扫到了，你再做也无意义）：宝塔面板用户可添加一个随意的网站1.1.1.1（域名或者IP随意），然后删除宝塔创建网站默认生成的全部文件，然后为这个随意添加的网站配置一个无效的证书（上方链接为大家提供一个无效的证书使用），配置好证书之后在宝塔面板后台：【网站】-【默认站点】中心选择刚才添加的这个随意的网站作为默认站点。

也可以直接在这个随机添加设置为默认网站的配置文件中，加入80和443端口返回444，如 return 444;

配置如下

server
{
listen 80 default_server;
listen 443 ssl http2 default_server;
server_name 666.com;
index index.php index.html index.htm default.php default.htm default.html;
root /www/wwwroot/666.com;
#下面这行return444是后加的
return 444;

…………………..}

7-cdn部署后，有历史老资源遗留

1. 用户请求：当用户访问一个使用CDN的网站时，他们首先会与距离最近的CDN边缘节点（Edge Server）建立连接，而不是直接连接到网站的源服务器。
2. CDN处理：
   • 静态内容：如果请求的是静态内容，而且这个内容已经被缓存在CDN节点上，CDN会直接返回这些内容给用户，无需访问源服务器，如果没有，那么cdn请求源站拿到资源，再转发给用户，用户也拿不到源站ip。
   • 动态内容：对于动态内容的请求（例如用户提交的表单、实时数据更新等），CDN不能直接从缓存中提供内容。这时，CDN会根据配置将请求转发到源服务器。
3. 源服务器处理：源服务器接收到请求后，处理动态内容生成（如数据库查询、页面渲染等），然后将生成的动态内容发送回CDN节点。
4. CDN响应用户：CDN节点再将源服务器响应的动态内容转发给用户。在某些配置中，CDN也可能缓存这些动态内容的响应，依据特定的规则，如HTTP头部信息中的缓存控制指令。所以用户也拿不到源站IP

但是如果站点有一些资源没被cdn普及到，被攻击者发现了，那么这些资源的请求会直接请求源ip，就暴露了源ip。

8-网站漏洞

原理：攻击者利用网站的漏洞让我们的服务器去攻击者黑客设置的资源，建立连接就暴露了IP

解决方法：这个看情况而定了，解决漏洞即可。

9-源服务器的遗留文件

有的老文件不在cdn范围之内，就可能被攻击者扫到，然后直接建立和源ip的连接。

10-禁止ip访问，防止对方ip访问，然后可以进一步搞个假的无法访问的网站，设置为宝塔的默认站点，然后设置个假证书（自己生成），还可以防止通过证书溯源ip

防御总结：

1-源服务器，如果你是宝塔面板就把能开的优化策略和免费的安全插件都搞起。

2-然后找一个防御ddos和cc的安全脚本安装上，比如基于iptables一类的开源免费脚本，或者宝塔的付费waf(有一个是基于nginx的，有一个是独立服务器部署的waf)（不漏源ip的话，可以不用设置）（如果站点上了cdn，cdn服务商一般也会自带这些的，但是cdn的是cdn的，万一源ip暴露，源服务器的防御脚本也能起一定作用），也可以用nginx免费防火墙，也有防cc功能

3-套个cdn就行了（抵御ddos的四层攻击，国内大厂计量cdn注意七层http刷量，如果是cf那种无限流量就不怕）

4-cc攻击的话，cdn一般会防，还有1，2也都会防。

5-不要泄露源ip

国内ip走值得信任的小厂cdn（大厂计量害怕被刷量攻击），国外IP走cf，万一国内小厂cdn被击落，立马也换cf，再被击落用付费cf。更换期间上静态维护页。

6-cdn禁止回源，还有设置服务器只允许cdn的ip访问，可以最大程度防止cdn被击穿导致源ip泄露

7-一般直接禁止国外访问，实在要访问，把攻击者肉鸡最多的国家禁止访问。

付费cf和免费版区别

https://www.cloudflare-cn.com/plans/

就是速度快一点，缓存和防御的更精细点

ddos防护tips

1-缓存方案，这其实是个下等方案，给没预算上高防cdn的人用的

cdn层面还是不要缓存html了，因为可能影响登录等等，比如登录后刷新页面还是未登录。

服务器层面可以用宝塔加速缓存（默认登录状态不缓存，不登录才缓存）个10秒，因为设置几秒的话好像根本不缓存。还有wp规则，应该不影响未登录用户的登录等等，未登录状态下能有效缓存几秒。

但是遇到cc我才会缓存几秒，平时直接不开缓存的，所以：

然后是宝塔加速配合宝塔nginx防火墙的人机验证，缓存太长时间的话，未登录用户会卡在验证码页面，一直重复验证码。开10-15s(用户完成人机验证的时间超过你设置缓存的时间即可)就刚好不会卡验证码页面，也能缓存几秒钟。

但是开启人机验证，少数情况(测试发现和宝塔加速缓存无关，没开缓存是一样的，情况是原先没有人机验证，突然开人机验证，原先浏览器已经在页面的用户，访问其他页面，是不弹人机验证的，直接打不开网站，而且每一次刷新页面，虽然打不开，但是算一次人机验证失败。原因貌似是因为并不是新访问者所以没下发验证，但是又没验证，导致了拒绝。滑块验证会这样，但是验证码验证是能正常弹出的)，貌似有一些问题，比如手机页面不提示人机验证，直接打不开网站，清理软件缓存重新进入才提示人机验证页面，所以尽量用无感验证，无感没用再人机。

2-根据根据去精细化调整

如果有定制化cc攻击，就是专门针对你网站的攻击，你也根据攻击去完善速率验证规则配置去防御对应请求接口就行，全局验证是保底最后的方法。

最好的规则也是完全正常人访问的速率，如果对方就是有1w个ip全程正常速率cc你，这个时候你也就只能花钱上配置了，但是你禁了国外，国内不可能有这么多ip的，他的成本一样比你高。

或者也是通过设置速率规则，一个人不可能同时12h看你网站，那就设置12小时内超过多少请求（12h内正常用户最多产生的请求数）就拉黑。
比如你开餐厅，对面一个人点一百个菜，你就直接拒绝了。但是它真请一百个人，每个人点一个菜，你只能招待，只能提升服务器配置，把餐厅扩大，但是能通过速率时间限制，比如他吃饭最多用餐两小时。

3-遇到攻击，waf防不住，可以在宝塔中的站点修改的网站目录中关闭日志功能，减少源站压力，这个是不影响cdn或者nginx防火墙封IP的

这是面对已经到达源站的cc攻击，或者你的cdn没有防御，也没有部署过cc防护waf独立服务器，只有源服务器的宝塔nginx防火墙waf在防御cc
这种情况，防御cc本身，就算没下发页面，但是防御本身就是需要性能的
所以可以关闭日志，减少源站服务器压力

4-cdnfly也是与时俱进的，攻击者能穿了，作者也会更新。就是技术的对撞，如果最新的又被穿，作者没更新，你就换一种cdn，攻击者不可能有穿每一种人机验证的脚本，主流都有，你就换个人开发者的刁钻人机验证，反正攻击者成本会猛增。你真惹到这种级别攻击，你也不差钱，花钱防御就完事了。网站防御成本比攻击成本低的。

5-如果能接受暂时停止访问，可以把解析改成127.0.0.1，让对方流量攻击自己，达到让他们掉鸡和掉代理的情况

或者你的cdn有那种cc防御功能，判断频率超过多少，直接重定向到他本机什么的达到攻击自己的目的。

6-cc攻击一般是没办法刷太多流量的

为什么没办法刷流量，因为cc大部分都是代理池，是没办法长时间占用和定制化的

能长时间定制的，被你防火墙封了，很难再搞新的

除非有人特地搞你一次，否则流量不好刷的，而且一次后你看控制台封了IP，他又焉了

普通的不是针对刷流量的cc攻击，其实刷不了多少流量

那种私密高级ip代理池子，才能长时间刷流量，这种池子很贵

刷流量的价钱，比你cdn的流量费还贵，没人刷的，只会说打cc

7-等级一：宝塔防火墙开个人机验证
等级二：搞个高防可以自定义多种规则和有人机验证的cdn
等级三：自己再安排个雷池或者宝塔独立waf
等级四：定制人机验证，高端人机验证的cdn

基础知识
https://www.nodeseek.com/post-348505-1
https://www.nodeseek.com/post-337946-1
https://www.nodeseek.com/post-265777-1
https://www.nodeseek.com/post-86948-1

8-dd攻击者成本高，开了cdn和隐藏了源ip，不足为虑，cc开启人机验证，不足为虑，只是用户体验差一点。

9-面对随机路径的cc攻击，可以做好404，nginx层面做好配置，别让确定404走到后端。

攻击者还可能通过搜索绕缓存，也可以通过随机cookie，或者未登录用户限制搜索频率等等。

但是最重要的是速率限制，上人机验证，可以不限静态请求，限动态就行了，直接解决上述问题，上述配置属于精细防御了。

10-那些攻击者，活跃dd圈的，接单子，当你有cdn，一般是cc或者抓源，很少很少轮节点

11-抓源很贵的，基本上几千块起步，当然前提是你的网站做了基础的防漏源措施

12-dns服务器也是能打的，一般不会，被打了买付费dns就行了

13-真有大手子，直接先全缓存，暂时放弃动态，然后想办法应对

14-nginx就能设置单ip到多少流量限速，cdn自然可以，只是没做，部分cdn有这种功能

15-cf是有规则又有人机验证；eo规则强，人机验证薄弱（2026也有全局人机验证了，后续应该越来越好）；cdnfly等等是只有人机验证，规则薄弱

eo还支持边缘函数，可以通过这个防攻击好像

16-cdn的cc防不住，就得上雷池或者宝塔独立服务器waf，反正就是再来一层请求清洗.

如果对方是大量ip，低频率请求，只能升服务器配置或者开全局验证，或者有更高级的ip指纹去识别风险度

17-itdog这种网站测速其实就有大量ip，可以把市面上这些测速网站的ip都测出来拉入黑名单

有一个更快的方法，就是你写一个黑名单页面，比如xxx.cn/Blacklist.php 访问了这个就直接拉黑，然后自己用这个url去itdog上请求一次就行

这种测速网站有很多，都需要拉黑一次，或者全返回特定状态码

18-如果被攻击，假设一分钟的攻击，后续流量一下统计过不过来，腾讯云一般会持续二十分钟左右才统计完毕

19-其实大部分都是国外的量，禁国外基本无忧，禁国外，对他们是大打击，cc和ddos都没量了

20-肉鸡公开ip黑名单没用，因为对方是ip池，拉不完的，但是拉了也没坏处

全球公开代理是动态的，你拉黑一波下一次就不一样了，但是他就算换也是要部分成本的，拉黑总不不拉黑强,

21-拉黑名单要拉就拉整个c段，因为肉鸡的ip基本是在c段内变的，同时这样也会误

家庭肉鸡一般在一个c段内ip不会变，服务器肉鸡ip会变，比如机房不租用那个ip了，那个ip换了个机器使用了，就把不该拉黑的拉黑了，原先拉黑的也不知道是谁了。但是服务器就算全部拉黑也无所谓。

家庭肉鸡可能拉黑不住，因为拔光猫，会换ip，这个c段根据具体情况跨度很大的，我们不能全拉黑，不全拉黑又拉黑不住攻击者，但是事实上，攻击者没办法控制ip的改变，得肉鸡主人自己重启光猫什么的，才会改变。

A. C段：180.1.1.0/24
包含IP地址：180.1.1.0 到 180.1.1.255
总共：256个IP地址
可用IP：254个（去掉网络地址和广播地址）

B. C段：120.1.5.0/24
包含IP地址：120.1.5.0 到 120.1.5.255
总共：256个IP地址

C段（C-block）的IP数量
一个C段包含 256个IP地址：
范围：xxx.xxx.xxx.0 到 xxx.xxx.xxx.255
例如：192.168.1.0/24 包含 192.168.1.0 到 192.168.1.255
你的计算
如果80%的肉鸡在5-20个C段内变化：
拉黑5个C段 = 5 × 256 = 1,280个IP地址
拉黑10个C段 = 10 × 256 = 2,560个IP地址
拉黑20个C段 = 20 × 256 = 5,120个IP地址
实际影响分析
优点：
覆盖范围大，能有效阻止大部分攻击
操作简单，只需要拉黑几个网段
缺点：
误杀严重：一个C段内可能有很多正常用户
资源浪费：256个IP中可能只有少数是肉鸡
维护困难：难以精确识别哪些IP是真正的攻击源
更精确的策略
动态分析：先拉黑1-2个C段，观察攻击变化
时间窗口：短期拉黑，定期更新
行为分析：结合请求频率、模式识别
分层防护：C段拉黑 + 单个IP拉黑 + 速率限制
所以你的数学计算完全正确，但实际应用中需要权衡覆盖率和误杀率。

22-cc攻击的代理池里面的ip究竟是什么？

本质一个ip背后大部分情况下都对应一台设备
1-大部分是路由鸡，也就是弱密码，被黑了的路由器
2-然后是住宅ip转发，这种ip来源于手机和电脑，比如机主下载个免费vpn（所以千万别用这种东西），然后用户协议有一行让用户同意在设备闲置时共享带宽，或者流氓软件根本不在乎协议，就直接把机主的设备当作了一个转发站，那么机主的ip就相当于一个真实用户的住宅ip

这也是没办法cc攻击，大部分不刷流量的原因。刷流量就需要长时间连接，握手，那么路由鸡是做不到的，然后住宅ip转发，大部分情况下也难做到，反正门槛高了，普通cc攻击猛发请求就行了，而刷流量需要长时间建立真实连接握手。

能做到刷流量的住宅ip或者其他ip，基本上是按照gb收费的，攻击者刷你cdn或者cos流量实际上成本很高，所以很少见

长时间建立真实连接，刷流量，是走的tcp协议，它刷你多少流量，本质它的代理节点就需要接受多少流量，这是这个协议的特点，它是没办法说请求你1w张图片，然后它自己不接收，然后你的服务器或者cdn还一直下发的，你下发多少，它必须接收多少，然而这种高私密代理池的ip是很贵的，而且按可能流量计费，所以攻击者的成本也很高。

而普通cc攻击是不一定建立长时间连接的，普通cc攻击是大量请求，瞬间把你连接数和cpu资源等堵死，但不是把你带宽堵死，实际上打不了你多少流量和带宽，但是这种攻击会立马被防火墙拉黑ip，就没事了

不用怕刷流量，直接一个ip一天限制1g，一万ip的大佬来打，也就打10t，刷不了多少（当然有的cdn没限制单ip流量的功能，你可以设置全局封顶），还可以通过宝塔的单ip限流限制，不过宝塔的话，你用了cdn，从服务器下发的一般就是html，占不了多少流量，所以需要设置很低，但是太低，万一是正常的回源，又会封错客户，而且你宝塔单ip限制，并不能解决cdn被刷流量，通过对应html下发了多少流量去判断cdn被刷了多少，是很笼统不准确的，不推荐。

当然不得不防，我们该有的防刷流量的防护措施还是要做

23-实测一般cc估计，单独nginx防火墙的人机验证就能防住了（前提你不是垃圾轻量云，你有个16h基本上就行了），攻击者要上付费攻击才能打死你，他付费了，你也付费上带waf的cdn就行了，前者nginx防火墙这个是你的源服务器在抗，nginx防火墙识别流量本身就要资源，所以只能抗一般的免费攻击

24-开宝塔人机验证，完美防御免费强力cc，不免费的50-100u以下不带绕过策略的也能防，只要源站不是什么轻量云，只是刚开始稍微卡一点，等对方的IP全被ban了就慢慢恢复了。

25-cc就只能用策略去防，和用配置去抗，不足为虑，因为cc要真实ip，你给他一点点禁了就行了，他又得另外找IP，对网站影响也不大。

那种没几个ip的cc攻击是最简单的，比如就10个ip，每个ip一秒请求几千，那么在cdn的waf层面就被禁了

如果对面是大量ip的cc攻击，比如一秒就请求几十次，和正常用户差不多，那么waf就不会禁止，你可以通过规则去防御，比如设置请求html一分钟只能多少次，设置个5次8次，如果对方不知道你的策略，一样会被防火墙禁，如果对方就是完全模拟正常用户，比如先上1000ip正常请求十分钟，再换一批再正常请求10分钟，那就需要大量的ip，成本很高的，这种打的不是拥堵你的连接数，而是打的正常请求，让你服务器渲染html然后下发，消耗cpu，也是要长时间真实连接的，所以成本也高，所以你设置html限速一分钟五次就行了，如果攻击者用这种方式，相当于完全模拟正常用户，你顶不住，只能说你本身就开不下去，因为它的攻击成本比你还高很多，它就是相当于正常用户，对你来说，你要做的是升级服务器配置。

25-大厂比如eo是防cc的，不防ddos，只是说隐藏了源站，但是如果对方猛cc攻击你的域名，会被拉高防组的，那么加速节点就很少了。如果对方直接轮eo节点，这种几率很小，但是eo也能通过特殊手段发现是你的域名带来的攻击，没错第四层轮节点，它有办法找到是你的网站带来的（好像是通过节点被打情况和第四层加速什么的找出的你），也会拉高防组，特别牛逼的攻击就给你黑洞沙箱了。

26-宝塔攻击次数就是拦截次数，滑块认证不过算一次拦截，不正常请求触发了防御规则拦截也算一次攻击次数

27-千万别用计量的，普通的不带waf大厂cdn，因为普通cdn必被被刷流量，小厂还可以直接跑路，大厂不还的话懒得扯皮。

买带waf的大厂cdn
拦住的不计费，你规则不行没拦住就得计费了，或者被慢刷识别不出来也得计费，自己去和腾讯等大厂扯皮求减免，但是规则配好了一般不会有这种情况

前面说了刷流量，刷多少，对方成本也是很高的，但能防我们还是要防，比如封顶流量，限制每个ip对图片和视频的速率连接

然后要注意的是，有的cdn，处理请求都要计费，那就恶心了，对面cc攻击打请求是很简单的，基本想打多少就打多少，所以别用这种cdn，虽然说请求费也便宜，不过尽量别用

28-IPv4 段封禁实例 被封段：203.34.56.0/24 包含 IP： 203.34.56.1 ~ 203.34.56.254

29-https://www.12377.cn/用的创宇https://www.yunaq.com/防御

cf规则大全

cf规则https://www.nodeseek.com/post-128604-1

cf规则https://www.nodeseek.com/post-305888-1

cf优选https://www.nodeseek.com/post-357645-1

cf自定义回源https://www.nodeseek.com/post-357317-1

认识ddos价格，知此知彼，百战不殆

简单来说，如果你是网站，你是不怕攻击的，攻击者成本比你防御还高，基本上成本是30：1，假设对方连续一个月每天花50u打你，你只需要买个一个月50u的cdn，对方绝对打不死你，最多让你有波动；但如果你是游戏，不能出现任何波动差错，成本就高。

1-cc就是几十u一天，再大的量一样，贵在脚本，脚本就是用来绕开你人机验证的。

cc高级是买代理池，然后配合脚本去攻击
普通代理池便宜，而且有免费的
私密代理池贵
它们的ip限速不同，普通的可能就不到1mbs，然后普通容易掉，就是攻击一会就停了

2-第七层cc，除了固有成本，攻击价格看技术，主要在绕过脚本技术上，和程序员一样，刚毕业七千，有经验就一万四，更厉害就两三万。
3-ddos第四层就透明点，都是固定成本，看渠道，那些卖的，都是从渠道源头拿，然后翻差不多的倍去卖，没有太多技术溢价。

4-第七层一分钟一亿请求和第四层1t差不多的水平吧，但是价格不同，比如我看到的一个价格（注意，这是别人发的，我是带大家认识，我不卖）

打云机200-400g，一般是10-25u一天，1-2u一次一分钟。天卡一般100-150次
如果你的服务器厂商，标了对应ddos防御，面对对方打你一次两次的，可能会履行防御，如果对方一整天都打你，可能把你服务器拉黑洞或者叫你加钱。

说多少g，或者1tb这是第四层攻击

cc定制：
1000u/月 

提供独享服务器*2

提供私密代理1000*1

提供复杂访问验证码解决方案

提供洪水/绕过方案

提供一个月的售后服务

支持担保,这个不包绕的，解决方案不等于解决
出1TB僵尸端 25k
含30%国内量！≈300G
70U/天
周月私聊

测试10U
开卡可抵扣
包量不包死
出售18k流量端 udp ack tcp 等模式
✔️我们拥有800G的流量百分之35来自国内
✔️交易支持任何担保  okpay 周卡 月卡 api 
✔️支持定制cc/dd流量，接cc网站攻击等

什么穿缓存，穿人机验证和质询，很多种方法，我们能做的就是找一个好的高防cdn，cdn的防火墙自会处理，这个cdn不行就换

上层封udp和海外，没几个人能打动，但是封udp只对网站好，如果是实时业务，比如微信语音就不能封，因为其利用了udp的低延迟特性，用的是udp协议

周卡一般是天卡五倍，月卡是十倍

25u天有400gudp往上

700g左右   10k-15k   80u一天
1t-1.5t   20k-25k    140u一天
2t-2.8t   35k-40k   240u一天

周卡价格为天卡价格X5 

如需更高可定制70k

⚡️出售僵尸网络⚡️

测试费用10usdt一发保证攻击力量但不包死，和死亡多久，开通计划可以抵扣。测试均为40k测试后需要开什么计划自己考虑。不支持退款可以升级，

udp-1.6T ack-900G，上下会有浮动，但不会很大，只包量，如果中间出现问题，可以补偿时间，只包量不包死，天卡150u，周卡700U，测量墙已经被拉黑，不要攻击政府目标，并不是所有目标都能击杀，我们能做的只是包量，购买后不退款，出现任何问题可以补偿时间

25U天卡 300-500G的混合僵尸端

接收流量: 接收所有网络流量
分析流量: 分析流量特征和行为
识别攻击: 识别恶意攻击流量
过滤攻击: 过滤掉攻击流量
转发正常: 转发正常流量

强劲CC页端
天卡--30USDT--上限300秒
周卡--110USDT-上限1200秒
月卡--248USDT-上限3200秒
支付方式↑↓
天卡-218人民币--上限300秒
周卡-798人民币-上限1200秒
月卡1788人民币-上限3200秒
⭐所有套餐均不限制次数！
⭐附带L4模式随机路径（做好404，nginx层面做好配置，别让确定404走到后端），随机cookie，搜索绕缓存 （都可以精细化配置解决）


但是最重要的是速率限制，上人机验证，可以不限静态请求，限动态就行了，直接解决上述问题，上述配置属于精细防御了。
DDoS-60秒！

1t-1.5t   20k-25k    140u一天
2t-2.8t   35k-40k   240u一天
4t-4.5t   50k-60k   400u一天

周卡价格为天卡价格X5 

如需更高可定制70k

⚡️出售网络⚡️

测试费用10usdt一发保证攻击力量但不包死，和死亡多久，开通计划可以抵扣。测试均为40k测试后需要开什么计划自己考虑。不支持退款可以升级，购买联系https://t.me/remaxbozo

僵尸鸡没办法长时间持续的，比如用来打cc攻击，会掉鸡

cc攻击是买代理池子，免费的很垃圾的，付费的存活多，可持续攻击，你给他ip禁了就完了，它换你就再禁
100u以下的cc都没绕人机验证的脚本的，一般人机验证就够了，如果有绕过，你就换人机验证方式，都能被绕，就换cdn防御系统，这里的系统指的是cdnfly这种cdn厂家买的cdn系统，一个系统都被绕了，换其他也是用cdnfly的厂家也一样防不住
但是正版cdnfly还是不好绕的，很大oneman用的盗版

5-cc攻击基本30u一天，但是你防火墙策略一开一般都能防住，不足为虑，他定制化过盾就得花大价钱，你也改进就行了，反正他成本也比你还高。基本不定制的，你开的策略严格一点，cc攻击等于无，你0成本，对面还得花钱。

6-你都不需要定制，如果对面定制了策略，你直接换一家waf的cdn

7-刷流量的话，攻击者成本起码5u能刷你1t流量，你有策略，他也刷不动，你发现异常了，还能禁他的ip，小刷几t很便宜也简单，后续就麻烦了，因为都被你防火墙拦截ip了，他成本也很高，而且你找个不限制流量的cdn就行了，当然不限制流量的cdn会限速。

而且就像原先说的，能刷你流量的，需要建立真实长时间链接，都是需要很贵的那种代理和脚本和服务器
他就算ip很多，按照模拟正常用户速率，每时每刻访问去刷流量，你防火墙不会拦它，但他成本比你还高

而且你也会发现异常，就会禁它的ip，那么它又得换一批ip，成本很高的。

你也可以设置每个ip最多每天使用多少流量，然后就封禁或者起人机验证，不过有的cdn没这种功能

8-溯源cdn后面的源ip几百u起步的，只要你做好了基本的藏源

9-1t的量，一天100u左右

ddos原理继续开一部分

攻击原理

第七层cc攻击需要：发起请求的服务器，代理池，绕过waf的攻击脚本

第四层ddos攻击需要：发包机服务器，反射服务器列表，协议放大攻击脚本

其中都需要服务器，这个服务器可能是一台高性能大带宽服务器，但是容易被追踪，有可能用多台小服务器，或者大量肉鸡服务器代替，看攻击者有什么

但比如cc，那个服务器的作用就是配合脚本发起请求，要发动那么多请求，虽然不需要承担接收流量的用途，但发请求命令给代理池本身就要很高的性能

然后ddos，虽然通过反射列表可以放大，但假设平均放大50倍，想达到1tbs，那也得从服务器下发20gbs的流量，所以一台服务器需要20gbs的口子，基本上不会这样，可能是十多台，或者大量能操控的肉鸡服务器

第七层cc攻击需要：发起请求的服务器，代理池，绕过waf的攻击脚本

第四层ddos攻击需要：发包机服务器，反射服务器列表，协议放大攻击脚本

反正攻击就这些角色和原理，但是这些角色具体是什么，看攻击者的选择
比如发包服务器，可能是10台g口国外服务器，也可能是几千台肉鸡

不同协议第四层ddos攻击的方法倍数：

假设一般情况下，放大50倍，那么1tbps需要攻击者的发包机服务器总带宽有20g的口子

放大500倍就需要2g的口子

不过放大倍数和打的协议有关，有的协议是打不到人的，所以放大倍数再多也没用

但是一台20g口，一般不这样，因为会被追踪，一般是多台小口，或者直接用大量肉鸡，看攻击者手里有什么，反正这些的作用就是“发报机服务器”的角色作用

相关知识

1-反射服务器是被黑了吗？

反射服务器绝大多数情况下都是完全合法的、没有被黑（挂马或夺取权限）的正常服务器。
它们只是因为协议缺陷或配置不当，被攻击者当成了免费的”流量放大器”。

比如udp，这种不像tcp，不需要建立真实ip连接，相当于攻击者发包给反射服务器，假装自己是“被攻击者的”ip去请求反射服务器，说我要建立一个什么连接，然后反射服务器就会把连接信息发送给被攻击者的ip

相当于你（攻击者发包服务器）告诉老师（反射服务器），说你同学（受害者）说他有题目不会做，需要资料。老师就把资料发给你同学，其实你同学没要资料。然后你同时告诉100个老师（反射服务器列表），那么你同学就会收到100个老师的资料。你只是发了一条信息不到1kb，但是老师发送给你同学资料，至少50kb（协议放大）

2-上述说的1t-1.5t 20k-25k 140u一天，这个k是什么意思？

k可能是代表他持有的肉鸡僵尸设备，和cc攻击代理池里面的僵尸设备一样，路由鸡，智能家居，tv盒子什么的

如果是10k肉鸡，那只需要每台发2mbs就行了

如果是大口发包机，那就20台g口服务器发包机

也可能k是代表反射服务器列表中服务器数量

这些路由鸡，智能家居鸡，都是能伪造ip发送请求给反射服务器的，这是入侵他的恶意程序自带的功能

不要纠结k，那是商家行规标的，卖的人自己可能都不懂，反正就是上述原理
具体看肉鸡质量和反射服务器质量，比如，假设k是代表肉鸡，有的肉鸡相当于一台服务器，肯定厉害，1k这种鸡能比100k的tv盒子鸡

3-为什么需要反射服务器？

因为假设反射服务器放大打出50mbps到攻击者，本身需要自己有那么大的上行带宽

你要打出1tbs流量，就需要发送这个速率的带宽

攻击者不可能有这么大的口子

所以是需要反射服务器列表，成千上万台服务器去反射这1tbs带宽

4-代理池里面是什么？

1-僵尸网络，就是那些tv盒子的肉鸡，有它们的ip，被攻击者控制，用于转发请求，和被攻击者服务器建立真实长时间连接，或者疯狂打请求，每个请求不建立持续连接
2-私密的家庭宽带，就是大众的手机电脑，大众下载破解软件或者违规vpn，勾选了软件协议内的的允许软件利用闲时流量带宽。或者根本没协议。


其中僵尸网络刷不了流量，因为没办法建立长时间真实连接，但是私密的家宽可以，但是私密代理池也贵。

本质一个ip背后大部分情况下都对应一台设备
1-大部分是路由鸡，也就是弱密码，被黑了的路由器
2-然后是住宅ip转发，这种ip来源于手机和电脑，比如机主下载个免费vpn（所以千万别用这种东西），然后用户协议有一行让用户同意在设备闲置时共享带宽，或者流氓软件根本不在乎协议，就直接把机主的设备当作了一个转发站，那么机主的ip就相当于一个真实用户的住宅ip

XSS和CSRF和SQL注入

XSS攻击主要是通过在公共站点中嵌入非法脚本，当其他用户访问这些页面时，这些脚本会被执行，从而影响用户的操作或窃取用户信息；CSRF攻击则是伪造用户的身份，向目标网站发送请求，这些请求通常与转账、发邮件、购物等操作相关

xss：https://www.bilibili.com/video/BV1Qd4y1k7K4

Cross Site Scripting跨站脚本攻击是恶意用户通过用户的输入框注入恶意脚本到服务器，让e正常用户收到服务器的恶意脚本并执行。（不叫css是因为避免和前端的css重复，就叫了xss）

Cross-site request forgery跨站点请求伪造是伪造用户请求，进行非法操作，比如qq邮箱如果被csrf，那么攻击者就可以冒充你删除你的邮件。

sql注入：https://www.bilibili.com/video/BV1ZR4y1Y745，通俗说：如登入账户，黑客在登入框内插入恶意sql字符，欺骗服务器执行sql，从而达到骗取账户密码和权限等操作。

这些玩意现在都是用框架组件开发的程序，一般很少有这种漏洞，就算有，随便启用一个防火墙也有过滤功能。

dns污染

这种是dns运营商的事情，我们管不着，出问题了我们找它们就行，腾讯云，阿里云什么的。

防护

一般现在用框架开发的程序都很少有这些漏洞，因为本身框架做了安全策略，还有配合waf防火墙，都可以进行有效防护。

sql防范：对用户的输入过滤等。

xss防范：对用户的输入（账户密码，评论等各种input框）做过滤，对输出做转义

csrf防范：使用token（因为有同源策略，其他站点拿不到另一个站点的token）；避免get请求；使用验证码等，但是cookie也有同源策略，为什么又被利用了呢？token也会被xss等方式劫持呀？攻防永无尽之，这里只是了解

CDN的选择

别用普通的没有防御的大厂cdn！！！尽量用高防的，否则会被刷量，用普通cdn也用小厂的，被刷价格也只有大厂的十分钟一，我用小厂cdn两小时被刷过10t，就是三百块钱，如果大厂就是三千块，普通cdn你再怎么流量限制都没用的，防不住。

尽量用大厂也得用eo那种带防御的，但是价格较贵，几百块一个月，初期没钱建议找个小厂交朋友的wafcdn

虽然不防御ddos，但是一般上了cdn的网站人家不会打ddos，打也需要一定的量。其次虽然没防住的流量计费，但是他作为一个安全产品是有东西的，不然也没人用了，做好策略是能防住绝大部分的。

那些限制带宽的cdn，是单个节点限制，比如写着限制10m/s，如果有10个节点，就是每个节点都有10m/s，而不是说全国所有节点一起总共去分10m/s，因为他们根本做不到这种流量计算配制。

按理来说节点ip越多，发布地区越广，加速效果越好；

但是ping一些大厂官网会发现他们的ip一般就4-6个，也不多呀？

因为他们的架构不像普通网站，而且他们的一个ip可能能顶你10个ip（也可能一个ip就是一整个机房），他们公司有专门的部署架构。

也可能会任播anycast。了解任播：https://www.bilibili.com/video/BV1894y1U7dz/

IPanycast（IP任播）即多个主机使用同一个IP地址（该地址即这一组主机的共享单播地址）的一种技术，当发送方发送报文给这个共享单播地址时，报文会根据路由协议路由到这一组主机中离发送方最近的一台，能够有效应对高流量、网络拥塞和DDoS攻击。

Anycast是什么，与 Unicast/Broadcast/Multicast 的区别：
Unicast (单播)： 1 对 1 （一个 IP 地址对应一个服务器，请求固定去那里）。
Broadcast (广播)： 1 对 ALL （一个 IP 地址对应本地网络所有设备）。
Multicast (组播)： 1 对 MANY （一个组播 IP，组内成员都能收到）。
Anycast (任播)： 1 对 NEAREST （一个 IP 地址，发送给路由意义上“最近”的一个）。

我用的clouudflare的cdn，但是通过itdog的ping后，发现不同国家都是同样的两个ip，但是显示ip是Anycast，其实并不是只有两个节点在服务，其实有很多个节点，只是都显示一样的ip,这是两个任播ip

对于普通网站来说，还是选择节点多，分布广的CDN服务商较好，当然得实际测试（有的是质量不够数量来凑，也许20个ip的速度还没有10个的快），比如用站长之家去ping。

如果是面向国外用户，秒选免费的cloudflare就行了，通俗说：上了这个cdn，免费的ddos不可能打的死，如果对方买高价付费ddos，你直接买一个cf的付费服务，一样能抗住，而且他攻击的成本比你防御还高很多。

可以国内外用户ip分开部署cdn，国内的部署一个性价比高的厂商，国外就用cf

国内用户访问通过国内cdn，国外用户访问通过cloudflare方法：

1-将要防护的域名的ns交给cloudflare，这样可以全站防护，但是国内用户就无法再使用国内的cdn（因为国外的dns服务商没有多线路解析的功能），而国内用户访问cloudflare也会很慢。（所以不推荐）

2-使用国内多线路解析，国内用户还是国内的cdn，国外用户请求通过cname方式接入cloudflare的cdn（推荐），但是cloudflare的免费套餐，不支持cname接入。

解决办法：https://www.3520.net/free-cargo/2326.html

遇到问题（提示网站重定向多次，无法访问）解决方法：https://www.3520.net/server/2829.html，大概就是把cloudflare内的SSL/TLS改成“完全”（使用服务器自签证书）

cf配置参考：

https://www.imydl.com/wp/16810.html

https://www.imydl.com/wp/17658.html

https://ayw.ink/2460.html

多线路解析还可以分线路，比如电信，联通，移动，教育网，浏览器来源来分开解析，我们可以一个线路上一个国内cdn，原先是一个cdn抗，现在五六个cdn抗，自然防御力强很多。（平时默认开启一个cdn，遇到攻击了再开启多线路解析）

cloudflare优化后，国内访问速度其实还过得去，可以研究下优化和优选节点。

相比于国内高防cdn，cf特别良心了，速度优化还是不够用，可以升级cfpro，20美刀一个月，也比国内高防便宜，防御效果也好，速度pro又可以优化，基本上大差不差。

http刷量

上cdn就有一个坏处，流量得花钱，四层协议的攻击流量费算不到我们头上，但是http刷量攻击流量费就得算我们头上了。

解决：

1-cdn配置限速等配置，不过这些配置一般不够用，还是会被刷一部分钱。

2-直接把cdn的缓存功能关了，然后资源请求放回到本身的真实服务器ip处理，本身服务器再配合nginx和openresty 精细化限速；也就是说只用cdn抗四层攻击；但是这样cdn的缓存功能就没有了。

3-上cloudflare，根本不怕被刷。

4-被打一次及时拉黑ip

cdn到底是怎么配置的？什么原理？

https://www.bilibili.com/video/BV1zM411Z7VC/把这里所有的看完就懂了

这里详细说了cdn架构和解析原理，比如正规cdn在回源前，还会去请求一个中间服务器，中间服务器真没有资源才回源等等。

下图是cdn的一些常见疑问。

如上图提到了cdn的疑问，如加速域名和回源域名可以设置不同的域名，还介绍了dcdn，dcdn其实也不贵，可以有效防止cc攻击，因为它除了很多防止cc的规则外，更重要的是有多种人机验证机制，这些规则按照sec收费，不贵，应该也就百多一个月。

其中cdn选项中可能有websocket加速，tcpudp加速是给那种直播行业比如实时评论等功能用的，我们不需要。

但是，他虽然防御cc很厉害，不过当你遇到ddos攻击，其中肯定包括第四层攻击，阿里云完全有死扛第四层攻击的能力，cdn的第四层攻击流量是不收费的，因为这是基于ip的攻击。只有应用层第七层才能知道攻击的是你的网站，所以收费。但是阿里云不会去死扛第四层攻击，他会根据受攻击cdn的ip和客户中谁的网站突然涌入大量请求（被ddos，其中肯定混合了争对你网站的cc攻击，这个cc攻击动态请求也是过cdn的）等一系列措施，去推导出是谁的域名网站被攻击了，然后将你拉入沙箱，暂时停止你的dcdn服务，除非你购买ddos独立防护。这个防护特别贵，不是一般人买的起的，而且也不是一直防护，一个月只能防护几次而已。

腾讯的scdn和edgeone同理，也具有很好的cc防御，但是不会去抗第四层攻击，但是貌似比阿里云好一点，提供了一些基础的第四层防护带宽，但是他们并不承诺最小防护带宽，通过朋友了解到，这点防护面对敌人的付费攻击是防不住的，防些小学生完全够用，防付费的不精准的攻击也够用，付费精准分析过我们网站，有目标的ddos攻击防不住，也会被拉入沙箱（平时防御也够用），除非买独立ddos防护，这个防护根本买不起，而且需要买很高价格edgeone套餐的企业用户才能接入。

edgeone还有一个不好的点，虽然是scdn，但是如果你没配置好，被攻击者在第七层应用层刷量，都是计费的（当然scdn不是白叫的，你配置好是刷不到你的，但是不怕一万就怕万一），而且eo的价格也挺高，不如买个小厂高防cdn。但是它也算大厂scdn的代表，一般情况下，还是够用的。

所以我们只能选择小厂的cdn去死扛第四层了，小厂当然没有腾讯云厉害，腾讯云的死扛是真保证每个人的死扛，给每个人都留了死扛的资源，所以很贵，小厂的死扛是很多个人共用这个”死扛资源”，所以别人网站被攻击，可能还会影响到你，但是找个稍微大点的厂买死扛就够用了，目前ddos攻击还不是特别猖狂，多个人同时收到ddos攻击的情况较少，共用死扛资源也够用。

所以小厂cdn可以说防御可用性是80%，价格200一个月，大厂是防御可用性100%但是一个月一万，不是做的特别大，你没必要去花1w去保证站点稳定防御可用性。

其次这些dcdn，edgeone等都防御不住，必须买独立第四层ddos防护，那些平台的大厂cdn产品更别说防护了，它只能提供加速服务，根本没有防护功能，而且流量计费有5小时左右的延迟，有时你被攻击了，只要你还没拉入沙箱，在这五小时内，可能产生大量的第七层cc攻击的流量。（dcdn等就是比普通cdn多了cc防护）

一般大厂都会建立自己的机房和cdn系统等等，这些都是考虑一个长期的成本和效率问题，比如建机房后续资源肯定比买腾讯云阿里云的便宜，但是要花很多资质，时间精力，是否合算呢。就像主播带货为什么自己不去制造商品一样，只有资源整合，利大于弊才会去做。

tips：cdn有防cc规则和人机验证规则，但是这些都作用在”请求“，我们自己的程序前后端也需要做一些防护。cc请求的是登录注册那些接口，所以这些接口都要做人机验证，甚至接入付费的极验人机验证。

除了cdn的死扛防御和cc规则，有时候防不住，漏了一些恶意请求，那么我们源服务器也可以购买一些带ddos防护的源站高防ip，还有买性能配置高的服务器，自然抗攻击强一点。

SEO问题

1-具体来说你站点好，自然排在前面，重点在你的内容，友链是有点用的，然后如果你网站的关键词指数高，你现在排在后面，想快速展现排到前面，可以尝试快排，但你必须确实全力推广，排前面后，有用户使用，那么停下快排后，你一样排名靠前。否则你一旦停止快排，又会排后面了。

过了15年还有人问这个问题。。。

以前能买国内一些权重高的作为友链 当时只要花钱 排名嘎嘎靠前
从某个时间可能严查了 卖外链的 尤其是那些高质量的 都没卖了
只剩下一些垃圾养成的假象高权重充次品

SEO如其名就是搜索引擎优化 这里也仅仅是优化
实际长期的优质内容和用户喜好才能拥有真正的权重

就历史来看，根本没必要着重什么SEO 除非你本身做得就是垃圾站 图一时利益 或者是站群
正常的SEO就是更多的高质量外链而已 不过就自身垃圾站而言 根本也换不到什么好的。。

总结，好站自然牛
友链还是有点用

CDN问题

cdn配置

1-问号后参数处理—-设置带参数/去参数缓存

不处理：默认带问号后参数缓存，带问号后参数回源。
缓存和回源均去除：缓存和回源均去掉问号后的参数（若问号后参数不一致，文件内容一致，则推荐此配置，可减少回源）

如果你的网站是动态的，你需要选择不处理，不然你没设置好，动态请求都可能根本请求不出去，会提示400。

通过当前缓存域名都是静态资源，比如是cos桶的，那就可以勾选忽略参数；如果是网站的话，就不能勾选，或者勾选了你必须设置动态请求那部分不缓存，如：/wp-admin/*.php不缓存

2-缓存策略（html千万不能缓存）

css,js,zip,gzip,tar,7z,bzip2,dmg,gz,tif,tif,bmp,mp3,mp4,avi,mpeg,aac,rmvb,mkv,flv,swf,mov,jpg,jpeg,png,bmp,gif,psd,ico,tga,imb,tiff,svg,webp

建议如上的不会改变的静态资源缓存30天即可

如果你是php的动态程序，然后通过php转化为html再下发给用户，那html千万不能存储，因为你html存储了，用户看到的页面直接不变了，何来的动态。而且很容易出现各种问题，比如用户访问网站白屏或者响应文件头content-type出错，网站从html/text变成application/octet-stream就变成下载一个bin文件（bin文件这种情况大概率是cdn下发的时候type类型错了，但是html一般不缓存）。

3-一般缓存状态码只选择200、301、304

200 OK：表示请求成功，并且返回了内容。建议缓存，这是最常缓存的状态码，表示页面或资源正常返回。

301 Moved Permanently：永久重定向。建议缓存，因为它表明资源的URL已永久改变，可以将新的URL缓存下来。

304 Not Modified：表示资源没有被修改。可以缓存，它用于告诉客户端缓存的资源仍然有效，无需重新获取。

4-有没有缓存命中，你可以看cdn后台的日志有没有cache hit的标记，或者f12看请求的响应头X-cache（这个是cdn加的，一般cdn都有这个功能）是不是HIT, server, disk，是则缓存命中了。

cdn的缓存级别

cdn分l1和l2缓存，大厂有l1l2，小厂基本就一个，没有L2缓存

在CDN加速中，L1缓存和L2缓存是分层缓存架构的两个层级，主要区别体现在位置、作用和特性上：

核心区别

• 位置不同：
• L1缓存（边缘节点缓存）：位于最靠近用户的边缘节点，比如城市级或区域级的小节点，距离用户物理位置最近。
• L2缓存（中心节点缓存）：位于CDN的骨干网络节点，通常是大型数据中心，位置更靠近源站或核心网络。
• 作用不同：
• L1缓存：直接响应用户请求，优先提供缓存内容，减少用户访问延迟，提升访问速度。如果L1缓存中没有所需内容，会向L2缓存请求。
• L2缓存：作为L1缓存的“后盾”，存储更大量、更热门的内容，同时也会向源站请求未缓存的内容，再分发给L1缓存，减少对源站的直接访问压力。
• 特性不同：
• L1缓存：容量相对较小，侧重低延迟和快速响应，缓存的内容通常是访问频率极高的热门资源。
• L2缓存：容量更大，侧重存储和分发，能缓存更多类型的内容，包括一些访问频率中等的资源，起到承上启下的中转作用。

简单来说，L1是“前线”，离用户最近，负责快速响应；L2是“后方仓库”，支撑L1，减少源站负担，两者配合提升CDN的整体加速效率。

scdn推荐

白山,https://baishan.com/ 为各大企业和国家网站提供scdn服务，只服务企业，如果你没有企业可以找一个用此产品的企业，你去开通他们企业账号的子账号。

知道创宇https://www.knownsec.com/为各大企业和国家网站提供scdn服务，比白山更强更贵，还有渗透测试等网安服务，除了scdn，更牛的是它的安全服务。

上海云盾，免费无限流量但是限速5m/s，而且还有滑块可以开。小站完全够用，但是被四层ddos会沙箱。

1-白山和上海云盾https://www.yundun.com/webscdn-buy（这些都是面向公司scdn较贵，体验版也不够用）

2-腾讯云eo（大厂，这个算是最稳的，产品正式运营盈利，子比官方就是这个，价格也能接受100-几百一个月，但是被大量ddos可能拉沙箱，但是一般遇不到那么大规模的攻击）

3-级级盾和雨云和酷盾和图灵（比eo便宜，但是毕竟小厂，可能不稳定），其中图灵云很便宜，但是后面scdn关了，只有普通cdn了

4-不知名小厂（基本是融合cdn，也就是融合的各大厂cdn），和图灵云一样，价格便宜质量也不错，但可能突然停止运营叫你迁移，看你能不能遇到找到这种了。

5-cloudflare，免费硬抗，但是就是国内访问慢，可以应急。

价格：12345逐渐递减，服务器也同样，服务器还有一个亚洲云在3梯队。

cloudflared的配置和接入和优选

接入教程:https://www.imydl.com/wzjs/16711.html和https://ayw.ink/2460.html和https://www.3520.net/free-cargo/2326.html

优选教程：https://cloud.tencent.com/developer/article/2437958

优选节点ip:https://api.uouin.com/cloudflare.html和https://cf.vvhan.com/

优选节点每15分钟自动切换：https://blog.csdn.net/qq1345659844/article/details/141605565（如果你是被攻击了再用，平时国内不用cf，可以没必要搞自动切换，被攻击了自己优选几个ip挂上就行。再怎么优选也比国内cdn慢的，它主要强在防御）

注意:接入一个只能保护一个域名或者说只能保护一个服务，因为一个zone的回退源是固定的，你大概率不可能两个不同域名不同服务，是一样的源。比如你接入一个域名，只能保护其域名下的服务，或者通过cname的方式保护域名外的一个服务，但是你没法保护两个服务，如同时保护两个源站，因为接入一个域名只能配置一个源，两个源站的服务不同，源自然是不同的（都是网站，而且在同一个服务器的可以），其中一个服务肯定保护不了。需要另外再接入一个域名到cf。（这是需要设置自定义主机名中的回退源的情况下（saas接入cf的应用场景：https://www.3520.net/free-cargo/2326.html）；如果是cf接入保护cos存储桶：https://www.cnblogs.com/ncphoton/p/16950628.html里面没用到回退源，而是用cname的方式回源cos，自然想cname多少个存储桶都可以）

其中配置回退源就得有一个自定义主机名，前面两个虽然和cname方式接入cos是两个不同的东西，但是你的域名即使已经用了回退源和自定义主机名的saas接入了一个网站的防护，就不能cname方式保护cos了，也不能再保护然后其他解析的服务（不开云朵，只要dns可以），会无限重定向，我也不知道具体是为什么，应该是受到了回退源的影响。

tips:自定义主机名中的证书要验证域名所属权才会下发，用http或者txt验证就行了，这个证书也会过期，过期了，点击编辑，然后再选择自定义证书或者cf的证书（需要验证域名归属权），再确定就行了。

cdn注意

1-用大厂服务最好存储桶和cdn用一个厂商的，因为存储桶的流量计费基本是：外网下行流量0.5/g，cdn回源流量0.15/g（买资源包外网0.35，cdn流量0.1）如果是同一个厂商，流量算回源流量就便宜很多。

但是大厂带防御的cdn如scdn很贵，普通cdn又没防御，所以我们用小厂带防御的cdn也正常，那么外网下行流量很贵怎么办？不用担心，你正确配置了cdn，大量流量都是cdn下发了，cos不需要下发什么流量的，基本不到cdn下发流量的十分之一。

2-加入cdn后让网站获取显示真实ip，而不是cdn的ip

宝塔付费防火墙是有勾选cdn功能的，勾选后会自动识别真实ip

如果不起效果，可以看cdn带的客户端真实用户ip放在哪个请求头中，然后配置nginx获取即可。

或者在nginx配置中，在 keepalive_timeout xx;下一行加入

​ set_real_ip_from 0.0.0.0/0;
​ real_ip_header X-Forwarded-For;

这个可以让网站日志中的ip从cdnip变成真实ip

3-大厂按量计费基本上带宽无限，小厂就算按量计费，肯定比按带宽限制快，但是基本上带宽也有瓶颈。

4-cdn记得设置设置不缓存后台等敏感页面，当然你根本不缓存html，也可以不设置

cdn防住被刷：

原先说的是防住cc可以用cdn和waf挡住，那么cdn怎么防住被刷呢，攻击者低请求数，但是一直下载大文件怎么办？

1-设置请求数限制和人机验证等，（但是请求限制一般防不住慢速刷流量，攻击者就用20个ip，手动人机验证，正常qps请求24小时刷你也没办法。）

2-针对符合请求限制的刷流量，我们可以设置每个请求的单IP最大并发连接数，单连接带宽限制，单请求最大尺寸等。

针对攻击者通过刷大文件的流量来消耗 CDN 资源的情况，这类攻击被称为CDN 带宽滥用攻击。虽然不需要大量的请求，攻击者可以通过持续请求大文件（如视频、图像等）来消耗带宽，导致高昂的 CDN 流量费用或资源枯竭。为防范这种攻击，以下几种方法可以帮助缓解和应对：

下述方法是要相互配合的:

首先确定估计好正常用户访问时，需要的速率和请求数等数据，我们再怎么限制，阈值必须要在正常用户所需资源之上，超过阈值配置waf上人机验证，超过很多的话，就看日志有无异常ip，给他封禁。

1. 访问频率和带宽限制

带宽速率限制（Bandwidth Rate Limiting）：设置对单个 IP 地址的带宽上限，防止某一用户或IP地址过度消耗带宽资源。即使用户请求大文件，也无法超出限制的带宽。

总请求数和文件大小限制：限制某个时间窗口内同一 IP 或账号的请求数，或限制下载文件的大小。如果一个 IP 地址短时间内请求过大的文件，可以触发警告或阻止其进一步下载。

2. 按需加载（Lazy Loading）或范围请求（Range Request）

按需加载：将大文件分段加载，而不是一次性加载整个文件。这样可以根据用户的真实需求逐步加载文件，而攻击者很难通过一次请求占用大量带宽。如：一个大视频50mb，分为10个请求分段获取，然后配合请求限制如五分钟内只准请求200次，正常用户五分钟内最多看两个视频，包括其他请求不可能超过200，而攻击者就算卡200的次数，也最多刷10个视频的流量。(也可以提供waf更精细的设置视频文件等大文件的waf规则去限制和人机验证)

Range 请求限制：攻击者可能会利用 range 请求来分段下载大文件，从而规避一些速率限制。通过限制或优化 range 请求的行为，可以防止攻击者滥用这种机制。

3. 启用防火墙（WAF）和DDoS防护

Web 应用防火墙（WAF）：通过 WAF 规则，可以检测到恶意的流量模式（如特定 IP 持续请求大文件）并进行阻断。

CDN DDoS 防护：一些 CDN 服务提供内置的 DDoS 防护功能，能够自动识别异常的大流量请求并进行过滤。这种防护可以应对大流量攻击，减少带宽消耗。

4. 用户认证和授权

基于用户的限流：要求用户在下载大文件前通过认证，确保只有授权用户才能访问特定文件。对于非认证用户可以限制访问权限或速率，减少滥用的可能。

动态令牌（Token-Based Authentication）：要求用户在每次下载时提供有效的动态令牌（Token），该令牌具有时间限制，并与下载请求绑定，防止攻击者通过简单的文件 URL 来进行滥用。

5. 缓存管理和策略优化

缓存控制：使用合适的缓存策略来控制 CDN 如何缓存文件。例如，对于攻击者可能滥用的大文件，可以设置缓存过期时间较短，或者减少缓存频率，这样可以减少攻击者通过CDN缓存来增加流量消耗的机会。

用户特定缓存：根据用户的身份或IP地址生成不同的缓存内容，防止攻击者反复请求同一个缓存对象。

6. 流量监控和分析

实时流量监控：通过监控工具（如 CDN 自带的流量监控或第三方工具）实时分析流量模式，检测到异常流量时可以迅速采取措施，例如限制特定 IP 或 URL 的带宽使用。

异常模式检测：利用机器学习算法或规则引擎，自动检测异常的流量模式，例如某个文件的请求量突然增加，或某个IP地址消耗的带宽异常大。这种检测可以帮助及时响应潜在的攻击行为。

7. 分布式文件存储优化

CDN 分片（Sharding）：通过将大文件分片并分布在不同的 CDN 节点上，攻击者无法通过一次性请求占用大量带宽，同时能够在正常用户使用时优化性能。

CDN 存储层限制：对特定文件类型、大小进行精细化管理，避免攻击者通过大量请求单一大文件占用资源。

8-用户平时不需要请求的或者只有特定时间访问的大文件，开启鉴权。

除了上述措施，再加上一个好点的cdn的智能防护，自带waf和智能cc一般就防cc和自动防刷cdn流量，基本够用了。没必要做太精细，各种接口和文件都通过waf来限制等等，做过了，那就不是未雨绸缪而是杞人忧天。

除非专业人士打你，仔细分析了你的网站，如果这样对面就是付费攻击，你网站自然也盈利了，你也请个专业的人来防御就行了。

但是不怕一万就怕万一，大厂就算是scdn带防御的也得十分注意设置，因为小厂流量便宜，大厂贵，小厂被刷了还能跑路。

没钱流量低用高防低带宽wafcdn；没钱流量高用普通大带宽cdn（用小厂的，无论大厂小厂普通cdn被刷量根本没办法，只能认栽）发现普通cdn被攻击了立马换回高防低带宽cdn或者用cloudflare；有钱有流量就用高防大带宽wafcdn。

cdn免流？

走他的专线cdn可以实现访问腾讯云cos无限流量不计费?原理可能是同区域局域网内不计算流量，可能它的cdn的一个节点和cos在同一个区域，所有流量通过那个节点再下发到其他cdn节点

 在同一区域是免费的，例如：用户请求图片 → CDN广州节点 → 回源至COS广州存储桶（内网）→ COS流量免费。都是广州的话就是内网，跨区域还是要收费的

这个功能是可行的，而且可以搭配cosfs功能，也就是可以让cos当一个服务器的硬盘去使用，但是不同程序情况和架构比如是否外面再使用cdn等等，需要不同设置。实际上cdn缓存了图片和视频，用不了多少存储桶流量，使用这个方案需要买一台腾讯云轻量云，也需要成本的，而且需要大带宽，因为这个方案本质是从原先cos下发图片（几乎无限带宽），变成了从你的轻量云下发图片（受这个服务器的带宽影响）

cosfs可以挂载到任何一个服务器，不是腾讯云的服务器也可以，但是只有挂载到腾讯云同cos区域的服务器才能实现内网免流

cdn小知识

1-eo配置

https://mp.weixin.qq.com/s/6OzSrC79WvQPBeSeZJSyzA防盗刷edgeone

https://mp.weixin.qq.com/s/9zbodh6ZM0zre9POVxl84Q教程eo

https://mp.weixin.qq.com/s/0pnjvXvj5mIysZGhXkue8w规则引擎eo

edgeone等都可以用边缘函数来防御，和控制台防护规则相比，定制性更高，但是上手难

2-自建cdn教程https://www.nodeseek.com/post-3769-1

3-计费疑问，有cos和cdn，是扣哪个流量？

COS外网下行流量包和CDN回源流量包是不同的计费项，是否需要同时购买取决于您的使用场景：

需购买CDN回源流量包的情况
若您开启了CDN加速并使用CDN加速域名访问COS资源，此时产生的CDN回源流量需单独购买CDN回源流量包进行抵扣，外网下行流量包无法覆盖这部分费用[1][2][3]。

无需购买CDN回源流量包的情况
若您直接通过COS默认域名或对象链接访问资源（未开启CDN加速），此时产生的是cos外网下行流量，可直接用外网下行流量包抵扣

cos外网下行流量包不能抵扣CDN回源流量。两者的计费项和抵扣范围不同：

外网下行流量包
用于抵扣通过COS默认域名或对象链接直接下载数据时产生的外网下行流量，例如通过浏览器直接访问COS资源产生的流量[1][4][5]。

CDN回源流量包
当开启CDN加速并使用CDN域名访问时，数据从COS传输到CDN边缘节点产生的回源流量需通过CDN回源流量包抵扣[1][2][3][4]。
外网下行流量是cdn回源流量价格的三倍,反正无论如何只需要付其中一种费用，但是cos回源流量虽然便宜，但是你必须是用的你账号下的腾讯云cdn或者eo，本身这个cdn和eo的价格很贵。

4-买小厂的cdn记得问是否支持视频，图床，直播，下载，无限流量的套餐可能就不支持这些

5-如果你有小厂的那种永久不限流量套餐，只要不过分，是可以共享的，但是其他人如果有违规行为，比如加速违规视频，就可能被封号连带你

6-小厂cdn服务商用的cdn分发系统有cdnfly和flexcdn和goedge等，cdnfly用的最多，用于防cc攻击等功能。

7-自建可能节点出问题，所以也可以选择对接大厂的，各有优劣吧。有的cdn是自建，有的就相当于代理，比如自己和大厂，比如腾讯云谈量，然后自己整合大厂资源，然后卖。

8-cdn和节点数量无关，要质量，腾讯eo付费版50节点，明显比白山普通cdn一百个节点好

9-有的cdn还有防火墙，防止xss和sql注入什么的，比如eo

10-websocket是实时功能，比如实时聊天用到的，一般网站不需要开启

11-TTL = “Time To Live”，就是“缓存多久”。
节点缓存 TTL = CDN 节点缓存内容的有效期，过期后会重新拉取源站内容。

12-目前腾讯云的免费eo是防不住付费cc的，因为没有限速规则（只有一条好像），而且措施只有一个js质询（2026有全局人机验证了），但是企业版可以防住，虽然也没有人机验证，但是可以通过多条精细化的速率规则去防御，比如特定路径不同的限速，比如搜索，一分钟最多十次，然后宝塔开个人机验证就行了。比如设置视频一分钟只能有10条视频请求，然后在前端设置只有用户看到视频，才请求视频的代码等等互相配合。

精细化设置只是为了安全 比如某个管理员目录设置直接拦截

还有可以精细化的判断某个请求和某个文件和某个目录，设置不同的请求速率限制，防御的同时，友好用户

而小厂只能看全局限制多少请求就人机验证或者拦截，不能精细配置

验证正常用户和攻击用户的方式，除了速率判断和人机验证判断，还有某些大厂的的自动分析和指纹分析

13-eo不承诺ddos第四层防护的，所以被攻击，会被拉高防组，如果攻击巨大（上T级），可能直接黑洞，高防组一般半个月一个月才能恢复到正常组。高防组的话，cdn加速的速度会慢一点。

腾讯云的eo文档https://cloud.tencent.com/document/product/1552/70901#z1

14-cdn平台只需要有一个人实名和域名备案了即可，没有要求必须所加速域名的持有人和平台实名一致。

cos存储桶

大厂的存储桶和cdn你再怎么防御，总有攻击大佬能破的，为了防止一夜破产，最好别用，用了一定要设置封顶和流量限制等，如果存储桶cos你没用腾讯的cdn去保护（因为腾讯云的高防cdn很贵），而是用的其他高防死扛cdn，那么只有这个cdn能保护cos（其余的什么cos防御，设置referer什么的都没用）；

按理来说除了cdn提供商，其他人是不知道你的源存储通链接的，但是就是有大佬能搞到，万一被抓源存储桶的情况下就没办法去很好的限制cos速率，就更加要把各种告警都打开，比如微信，邮箱，电话告警都打开，被告警了直接关了服务，防止被刷。

官方告警设置链接：https://console.cloud.tencent.com/monitor/alarm/policy/detail/policy-hivhx5ef?content=policydetail

把cos存储通中的文件，在cdn中勾选全部缓存，尽量被刷流量也是刷小厂cdn的。

腾讯云cos防刷终极方法：通过函数自己去监控cos流量，流量超过阈值就关闭服务，这个是腾讯云cos自己没有的功能https://cloud.tencent.com/developer/article/2258668（如果你有cdn的话，按理说静态资源都被cdn下发了，所以阈值可以调小点。）

函数服务控制台：https://console.cloud.tencent.com/scf/list?rid=4&ns=default

tip：存储服务是没办法停止的，你只有设置为私有访问或者删了所有数据。

注意：这里也只是防住你被刷流量，被刷钱，就算攻击者卡住那个最低阈值一直刷一晚上，你也被刷不了多少钱。但是攻击者一攻击你就停止cos图片服务吗？显然这样是不行的，

如果设置了cdn和waf，cos还是被刷，就得分情况了，如果对面有能力抓原存储桶链接，那么就得及时找到他是怎么找到的原存储链接，然后修复，然后换个存储桶。如果换了还没用，就继续修复，如果无法及时修复，没钱就只能上cf去保护或者用cf的存储桶，有钱就上腾讯云的edgeone的cdn（几百块一个月）去保护，而且要仔细设置防护策略（没防住的https流量也计费的，功能强大但是得我们自己仔细配置），然后设置私有鉴权访问（私有鉴权访问，那么就漏源了也刷不了，必须通过edge

one才能到cos）（不要用腾讯云的普通cdn，他有能力找你源存储通链接，绕过你个普通cdn毫无压力，到时cos和cdn双重被刷。）

如果是没有找到你源存储通链接，而是过了你小厂cdn的防刷和cc策略，那就找个更好的小厂cdn即可。

注意：腾讯云和阿里云的存储桶，比如腾讯云的，你用了edgeone后要配置自定义cdn加速域名和私有鉴权。而不要自定义存储桶源站域名，那玩意没有任何作用，可能还会导致源存储通被泄露。

存储服务最好和源服务器是同一地区，可以让网站更快，最好服务商也相同，可以节省一点流量。

价格区间：2024.3一年1T的腾讯cos，首单优化我只花了120

计费：流量费+存储费

tips:存储通最好要和网站一样每天备份到本地电脑（产生流量费用）或者进行版本控制（产生容量费用），虽然大厂存储被黑的几率很小。

如何cos防刷

我自己写完，过了一段时间看，差点没看懂在干什么
这里大部分说的是藏cos的源地址，本质就是给cos外面套个cdn，然后又讨论了面对各种攻击的防护，其实和ddos防护章节重复了


对cos防刷来说，本质上只需要这几步
1-给cos套个带waf的cdn，不要漏cos的源桶访问地址给用户，这样被刷流量也是刷的cdn流量，比较便宜，不过便宜也是钱，怎么杜绝cdn被刷流量，在ddos防护说了。
2-不过如果带waf的cdn被穿透回源了到cos，才会消耗cos的流量，这个没办法，只能说设置cos桶函数流量监控，比如1h内cos下发了多少流量就停止cos服务

tips：
下面还说了鉴权，那是cos和cdn在同一个厂商才行，鉴权的意思大概是让cos只允许cdn的节点请求，就避免了对方抓到你的cos源桶刷你流量的可能，也就是杜绝了绕过cdn的waf直接刷你cos流量的可能。但鉴权并不能防住cdn的waf被穿透导致的回源流量，因为这种理论本身就是cdn的节点在请求cos，鉴权是能通过的。

1-防盗链，跨域访问cors设置（形式化设置一下，有人想攻击的话，防盗链什么Referer都可以伪造的）

2-千万不要把桶名暴露，要自定义配置一个域名去代替桶名。

腾讯云提供了两种方式。如下的方法1和2，两种方式用其中一个就行了，另一个不需要也用不了，因为cname会冲突，除非你是想配置两个自定义访问的子域名。

2.1-自定义源站域名：比如你设置个pic.xxx.com,然后你在xxx.com的dns上配置好主机记录为pic，cname记录值为cos原始访问链接就行了。（必须设置共有读）

这样只是隐藏了你的cos的原始存储桶链接，因为是共有读，如果黑客通过某个方法知道了你的cos存储桶原链接，可以一直请求刷你的原链接。而且其实没点用，人家就算不知道你的原始存储桶链接，直接刷你这个自定义源站链接是一样的。

这里的没用只指防御作用，它的用处实现域名访问还是有的，想要防护，就得设置其他的高防wafcdn，然后源站设置为自定义域名如pic.xxx.com（不用这个，就直接设置为存储桶原链接）；其实用存储桶原链接就行了，你配置个子域名再接入wafcdn去防护完全多此一举，相对于多cname了一次，而且子域名pic.xxx.com存在本身没有防护的，被攻击者扫描出子域名，就把cdn绕过了。

但是它又是必须设置的，cos中的自定义域名必须设置，否则wafcdn中设置的加速域名根本无法回源，因为cos根本不认可那个域名的回源；也就是说cos中的自定义域名必须设置，但是可以不根据它的要求去真的配置自定义域名前缀的dns解析值为源存储桶链接，而是将解析值设置为wafcdn分配的cname值，然后wafcdn的源站配置为源存储通链接。而且如果你是国内存储通，设置的自定义域名还必须是备案域名。

2.2-自定义cdn加速域名：配置加速域名为pic.xxx.com（前缀随便你设置的，反正就是用来以后提供这个链接访问cos内资源），然后腾讯云会分配加速域名pic的cname主机记录值，一般就是<域名>.cdn.dnsv1.com，然后他会在腾讯的cdn控制台自动为你设置源站为cos的原始访问链接。（设置私有读，私有读比较安全，但是必须用腾讯云的cdn，因为腾讯云他的cdn和cos之间后台设置了鉴权机制，相对于cdn每次访问都带了一个密码去访问，所以可以取到资源，其他人访问的话没有密码权限，无论怎么请求都是404，有cos原桶链接都没用）

其实和方法1一样的原理，但是就是加了个cdn，让无法直接刷cos，而是先刷cdn，而cdn又有cc防护，达到保护cos的目的。

2.3-当你站点用的不是腾讯云的cdn，因为腾讯云的cdn是不死扛第四层ddos的，所以我们基本上会接入小厂cdn去防御攻击，那么我们用方法1就行了，自定义源站的域名和我们的小厂cdn的加速域名一致就行了，比如都设置pic.xxx.com,然后小厂cdn中配置回源为cos原存储桶链接即可。这样小厂cdn照样可以保护我们的cos不被刷量，因为用户每次访问图片，都是通过pic.xxx.com,他是先请求了cdn，cdn没有图片才会请求我们的存储桶。

防御原理和腾讯云cdn方法2一样，但是差了一点，因为小厂cdn和腾讯云cos之间没法去相互配合设置后台鉴权，设置腾讯的授权策略让小厂cdn访问很麻烦，所以无法开启私有访问，那么当你存储桶原请求链接暴露了，攻击者就可以跳过cdn去请求你的cos，就被刷了。所以千万别告诉别人你的存储桶原链接，还有不要去用方法1，方法一就是脱裤子放屁根本没用，要么你就直接用方法2或者3，否则会暴露你的存储桶原链接。

腾讯云和阿里云那个cos存储桶或oss存储桶的回源鉴权都是只能用其自己的cdn才可以，如果用存储通外的第三方公司的cdn，就只能通过CDN域名+COS签名的方式访问。

如果需要实现设置cos私有访问，然后允许第三方cdn 回源到腾讯云的COS，且不用手动带签名，那么友商需要支持S3源站配置，如果不支持那就不行，必须手动携带COS签名进行回源

cos签名就是用你cos所属账户的权限去生成一个签名，第三方cdn每次访问cos资源都要加上这个签名去访问。

签名文档：https://cloud.tencent.com/document/product/436/30442

签名工具:https://cos.cloud.tencent.com/tools/cos?tab=sign

回源鉴权和鉴权配置文档：https://cloud.tencent.com/document/product/436/18424

tip:每个具体资源，比如https://cdn.xxx.com/1.png都得单独设置签名信息，也就说在第三方cdn回源的时候，每个不同资源都要单独设置不同签名，这几乎不可能。

第3种方法的弊端

首先cos是不可能被cc打死的，因为本身cos就只会被刷量，它处理并不是动态请求。如你的cdn没有滑块人机验证等功能，可能防不住第七次的cc攻击，也就是过滤不了所有恶意动态请求，源服务器会被打动态请求宕机。（把国内cdn关了，开cloudflare就行）

注意cloudflare你不是接入他的cdn就行了，你也得百度配点里面的策略，还有被打了手动去开5s盾。

但是因为cos处理的是下载，不是动态请求，而且本身前面就加了一层cdn挡着，尽管这个cdn没有人机验证功能，也会分担流量和请求，所以cos是不会宕机的，遇到cc攻击只会被刷cdn和cos的流量。

如何不被刷流量呢？

1-你就花钱上一个有人机验证滑块验证的详细细分流量限制等防御cc的cdn就行了，而且付费cdn基本上有智能cc，根本不需要自己去配置了，这样cdn流量和cos流量都不会被刷。

2-通过ns将主域名接入cloudflare，这样按理说应该是可以的，但ns接入cf会导致国内dns解析和生效缓慢，所以如果你是一个注重用户体验的产品，不推荐这个，如果你不注重用户体验你直接全站接入cf，存储也用cf的R2存储桶就行了。

cloudflare存储桶r2教程：https://www.iwmyx.cn/bxllcloudflarer2c.html和https://juejin.cn/post/7331584783611281444

如果你用了r2，自然在wordpress中要接入支持上传图片和视频等到r2的插件：https://cn.wordpress.org/plugins/ilab-media-tools/（r2在国内生态不好，用的人少，需要自己去研究了）

3-通过原先提到的中转域名跳板的方式让域名接入cf的方式一样，让cos也通过cname接入cf，这样就不需要ns接入cf了，也不存在dns解析速度的问题了，但是这貌似根本就行不通，我尝试后发现不行。

cos接入cf配置和教程

cf除了保护网站，也是可以保护cos的，但是需要ns接入，不能cname接入，而且cf虽然无限流量，但是速度和带宽肯定不尽人意，不然人人用cf了。所以如果你的网站没有盈利，可以尝试用cf，如果需要用户体验，有盈利，那国内买个99一个月的cdn，防御能力其实和cf差不多了，而且访问快。

cf保护cos的教程:https://www.cnblogs.com/ncphoton/p/16950628.html

虽然教程中是cname到源存储桶链接，但是只要小云朵是打开状态，cf除了提供防护，还会提供缓存。

上述教程是第一次的新存储桶和新域名，如果是原先我们已经为cos配置过cdn，应该怎么改为cf的cdn呢？

如xxx(你的域名).cn的图片资源是放在cos中，然后接入了域名cdn.xxx(你的域名).cn代替存储桶源链接作为访问域名，然后接入wafcdn保护cdn.xxx(你的域名).cn，wordpress里面cos上传插件配置的url图像上传地址也是cdn.xxx(你的域名).cn

我应该怎么改成cloudflare去保护cos呢？

方法一：按照如上教程设置即可，然后把wp的cos上传插件配置的url图像上传地址前缀改为你的新域名。（做完这个，你还需要把数据库内的图片url的老域名全部改为新域名，因为cos插件只影响所有媒体库，你原先的设置和发布的文章是不受影响的）

方法二：把原先的老域名的dns接入cloudflare，那么再按照上述教程设置即可，原先设置的图像上传地址前缀不变（cf的原理就是你网站dns接入了，cf的dns设置页面你把那个云朵标记打开，就可以帮你防护了）

方法三：

1-通过cname接入防护，也就是把cdn.xxx(你的域名),cn的cdn前缀的cname解析的记录值从原先的wafcdn改为接入cloudflare的域名中设置的源站为cos源存储桶链接的那个子域名。其他配置和上述教程一样即可。

（1这种貌似不可行，提示You’ve requested a page on a website (cdn.elonmus.cn) that is on the Cloudflare network. Cloudflare is currently unable to resolve your requested domain (cdn.xxx(你的域名).cn). There are two potential causes of this，其实cdn.xxx.cn没有ns接入cf，而是另一个域名按照教程中接入，但是会出现如上问题）

（应该和源站接入cf，必须域名dns接入cloudflare才可以直接cname接入cf一样，如果dns不在cf中，直接在其他dns解析中用canme重定向到cf中的域名是不行的，只能提供saas回退源自定义域名的方式接入）

（为什么不dns接入cf，以为cf的dns和国内的运营商有点“不太兼容”，国内的大众用户访问的dns服务器在面对cf的dns解析中要慢好几个小时甚至一天，也就是你cf配置了解析，国内用户第一时间识别不到）

2.通过用一个域名跳板sass接入cf，和源站用saas防护一样。参考：https://www.3520.net/free-cargo/2326.html，只是把里面的源服务器ip改成存储桶源链接。（可行）

这里只是思路，不懂dns走向和流量走向，可能看不懂，得先学，不然你就算配置好了，你也不懂为什么，出问题也修不了。

cf能保护cos的，就算遇到麻烦配置不好，那就不保护cos了，转而把图片丢源站下发，cdn保护源站就行了；也可以用cf的存储桶，所以说cf几乎无敌的，适用于中小站点，但是你做大做强得考虑国内用户体验和速度就不行了。

套上cf几乎无敌，那些卖攻击的人，自己网站都套的cf加一个宝塔付费防火墙

4-接入多个cdn，没用的，因为cdn死扛本来就不会宕机，问题出在没用滑块验证，被刷流量，你接入无数个cdn一样会被刷

5-cos中一般都是静态资源，所以我们要在cdn中禁止请求cos中资源的请求url中带参数，防住cdn判断无此资源，直接回源，从而导致cos被刷。也可以不禁止参数，但是在cdn的缓存功能中设置忽略用户参数（有的cdn没有这功能，看情况吧）。

6-套两层cdn，第一层是死扛第四层的cdn但是没用滑块验证，第二层套上海云盾cdn，不死抗但是有滑块验证，这样就又能死扛又能防止cc了。首先上海云盾有速率限制，但是按道理确实可以用，不过免费的cnd的waf终究效果不好，而且操作起来很麻烦，两层cdn速度也慢了，还不如直接接入cf。

如果说先第一层接入cf，第二层国内cdn，也是愚蠢至极，这还不如直接接入cf。cdn虽然可以套娃，但是何不用带waf的就行了，而花双倍流量双倍路径和时间？

所以只有方法1可行，搞个有人机验证的cdn就行了，如果实在不想搞，那被cc攻击了，动态请求的防护就通过关闭国内cdn开启cloudflare解决，防止源站被动态请求打宕机。cos的防护没办法的，但是不会被打死，只会被刷流量（加速cos的国内cdn不要关，还可以为cos分担流量）

买死扛的带有人机验证的cdn，cdn和cos防刷都解决

或者牺牲一点速度，动态防御用cf和宝塔自带的nginx免费防火墙，cos就让它刷，如果刷的钱少于买人机验证的钱，就让他刷，牺牲一点动态请求的速度而已。如果超过了人机验证的钱，就买人机验证，速度和防刷都解决。

或者牺牲速度全站接入cf

三个方法可以保证可用性

(这三种方法都是cdn层面，你服务器层面也可以配合免费waf防cc，服务器层面防住不了刷cdn和cos，但是可以保护源服务器)

1-买死扛和带cc人机验证的cdn；
2-买死扛不带人机验证cdn，cdncos流量让他刷；根本成本来决定1还是2
3-牺牲速度，全部接入cf,存储桶也用cf的

其实宝塔专业版也有人机验证，但是只是防止源站被cc击落，不防cdn和cos被刷。

平时和小学生攻击的话

第四层攻击：平时随便挂个死扛cdn就行。第七层攻击：设置宝塔nginx免费防火墙60s内请求同一个url多少次就封，然后开个增强模式宝塔nginx防火墙的人机验证等和禁国外ip完全够用了。cos和cdn刷量：配置自定义域名，cdn保护cos不暴露源存储桶域名即可（下面的cos防刷有提到），存储桶也可以用函数监控，五分钟到达某个峰值就停止服务，以防万一，但小学生一般没资源去刷量。

https://cloud.tencent.com/developer/article/2258668通过函数监控防刷cos流量

其实宝塔自带的nginx付费防火墙（一般被攻击的时候速率限制60s30次，正常用户也能保证访问）（没钱买你去找一下宝塔开心版，有纯免费的如bt.sy和bt.sb，也有tb上他们破解后加入自己授权机制卖的，但是破解版小心后门，需要找那种用户量大的，因为各大牛都分析了，就大概率没有后门，但是还是有风险不建议使用嘿嘿）还可以，但是如果你是轻量云等一些配置低带宽低的服务器，还是防不住攻击的，因为虽然它把带宽拦截了，但是如果你用了cdn，那么所有恶意请求其实通过了第四层到了第七次的nginx才被拦截（因为第四层看的是实际请求ip，你给攻击者封ip没用，他的请求其实是通过cnd的ip代理的），其实已经建立了连接，只是建立后返回了4xx的请求，攻击者请求多，你拒绝也得占用资源，还有建立了连接也有ssl握手，也得产生流量，这些流量在宝塔监控面板不显示，但是是存在的；所以即使拦截，你的服务器也顶不住，所以最好是带waf防火墙的cdn在前面顶。

有点水平的攻击：

第四层：死扛cdn就行。第七层：开启cf，设置宝塔nginx免费防火墙和cf的策略和五秒盾。cos和cdn刷量：cdn保护cos，一般cc攻击也刷不了量，都是打请求。如果被刷，刷的少就随缘，刷的多就买带人机验证的cdn去保护cos，或者买个高防被打秒解高带宽高存储的机子，直接不用cdn和cos。kuai

面对厉害一点的cc,宝塔的防御人机验证无效，因为服务器不行，虽然攻击者需要验证，但是因为请求太多看，验证的页面的流量带宽等资源输出你的服务器都顶不住，验证页面根本都出不来，所以还得是在cdn层面开人机验证。

cf可以优化优选节点，让国内访问更快，但是再快肯定也没有国内cdn快

高手付费攻击：没钱就全部接入cf死扛，存储桶也用cf的，访问速度慢而已。有钱就上更好的死扛高防cdn人机验证waf套餐（还可以上定制的人机验证更稳）去保护网站和cos，源站上带waf的高防高配高带宽服务器（比如什么十堰高防）。

上个800g源站高防，再来个单节点全800g高防cdn，定制访问人机验证和各种cc请求人机验证，藏好源ip，我不信有人能压你。

最牛逼攻击：这种攻击基本上，我们个人站长自己运维是处理不过来的，他会有专人去找你网站的各种漏洞，比如cc攻击也是盯着那种耗资源最多的接口攻击，然后你有防火墙策略，他有绕过策略，你人机验证，他也写脚本实现自动化等等，你不是专业的，自己根本不可能防住。遇到这种攻击说明你体量很大，也有钱，这种就找知道创宇等这种专业网络安全公司，几万一年包你无忧，建议找熟人，不然溢价很高。

最最牛逼攻击：只要竞争对手花钱，paypal等大厂网站都直接干翻，因为他们会定制攻击，找到你没有防御的疏忽资源区攻击，应对方法还是成立专业团队，找专业公司寻求安全咨询和服务，没有绝对的防御，只能尽量让攻击者的成本比你防御的成本更高。

总的来说：

正常就cdn上个waf,宝塔上个nginx防火墙，禁国外（可以开cloudflare提供国外访问），别漏源ip就行了，有高手抓源，那就上高防源服务器，然后禁止http服务，只给cdn的IP访问服务。

这些还解决不了，基本上遇到人花钱定制安排了，总有疏忽漏洞和不懂的地方，比如单独找什么慢接口耗资源什么的。

这种攻击也是对方花钱了，咱们也花钱找个网安大佬去防就行了

tips：对cc源站来说，又分刷带宽，也分刷动态请求的cpu和内存。

如果是刷动态请求，那么你所有的操作mysql等需要占用资源的请求都加入人机验证即可，然后cdn加入频率限制。

如果是刷带宽，是通过大量请求（请求后就断开）的刷带宽，虽然没有实际的流量持续请求，但是大量请求的ssl握手等就会占用源站带宽，那就加入cdn频率限制即可，到达某个频率就人机验证。

如果是攻击者在卡着频率限制内的，正常的一直占用你的带宽，因为你的cdn已经处理了大量js和css请求，所以你的源站只提供了html的下发和动态请求，所以你可以在源站nginx防火墙等中可以设置低一些的频率限制，如60s内20次，正常用户也不会1分种内请求20次html，也就是访问20次不同页面或者动态请求（如登录）20次。这样就可以缓解带宽压力。

攻击者卡20次的频率，20次html，一次50kb，一分钟1mb，对面ip多了，其实也顶不住，但是ip越多，攻击者成本也很高，人家都花钱打你了，你不得也上更高的带宽配置去防御，或者监控ip的流量情况，如果某个ip一直有规则的刷流量，就给它封了。

其实也不用担心，有cdn死扛第四层也差不多了，因为普通的cc攻击基本上是动态请求，动态请求一般人没法刷量攻击一直刷你流量，因为你封了国外访问，刷量攻击是需要真实ip和我们的ip建立连接的（动态请求同样要真实ip，只是刷量得消耗流量，资源消耗更大，所以一般cc攻击也是动态请求，并不一直刷你流量），因为国内没那么多肉鸡ip和流量攻击你，除非人家花钱攻击你，你值得别人花钱，说明你也有钱，你上更好的防御就行了，他的攻击成本可能比你防御成本还高。

但是动态请求就能把我们服务器打死了，但是这个打死只是cpu等爆满，并不会被服务商比如腾讯云拉入黑洞，攻击结束后十多分钟服务器就恢复了，一般小学生用的免费攻击也就几分钟攻击时间，如果你业务不打，大不了宕机十多分钟，业务大你上人机验证就行了，也不差这点钱。其中也有免费的一直打的cc攻击，但是流量很小，你封个海外ip，然后配点免费的waf，然后小厂cdn也有基本的waf，也能防住。

当你的源ip没有暴露（暴露了可以联系厂家换ip），别人ddos攻击你，其中第四层攻击udp tcp等各种大流量协议都是打的ip，不能直接攻击你的服务器，而是攻击的cdn的节点服务器；基于http协议的cc攻击才是争对你域名动态请求的攻击；大厂cdn给你接入cdn，当你遇到攻击，大厂会根据为你提供的节点ip和被攻击的ip进行一系列对比，从而知道是你的域名网站引来的攻击，如果你没买ddos独立防御，为了保证充足的防御资源，就会把你的网站暂时撤离cdn服务了，不会帮你抗第四层攻击。

而小厂cdn，也许他总共就那么50个节点ip，所有用户公用的，他根本没办法知道是哪个客户的域名被攻击了，可以根据哪个客户网站有大量cc的动态请求初步判断，但是也不能凭这个就乱封不是，所以不会把你拉入沙箱（有的小厂cdn也拉沙箱），他只能用自己的资源去硬抗，这并不代表小厂比大厂好，只是小厂的资源被你们所有用户共享，他赌的就是不会同时多个客户被攻击，当多个客户被攻击，他cdn直接全挂了。

相对于小厂是群防，所有人共享防御，不是个防，所以便宜，万一一个用户被大佬攻击，可能还影响到其他用户。

而知道创宇和白山和网宿这种，节点特别多，一个域名给一百个cdn节点，专门防御的，即使你没买独立ddos防御，一般也不会把你拉入沙箱，因为那么多节点一般流量根本打不动，根本不痛不痒。而且他也不好判断谁被攻击了，但不是说他们比腾讯云阿里云资源多，只是说策略不同。

如果你的站很大，买了普通的人机验证等等防护没用，接入cf也没用，需要保证业务的100%稳定，那就花几万每年买知道创宇和白山那种专业防护就行，上定制人机验证和各种策略，还有渗透防护等各种功能，基本上解决所有网络攻击。

你还可以像宝塔独立waf一样，部署一台独立服务器（注意带宽要大于源服务器，木桶效应）专门中转流量做waf（和反代防御虽然原理不同，但是功能差不多）；其次你源服务器也可以购买高防ip服务器，源服务器自带强力waf，其次再防不住流过来一点恶意请求，因为你源服务器本身高防而且资源配置高，所以根本就不怕了。

什么宝塔自带的nginx防火墙，什么开源防火墙，那些防护cc的规则也不是说没用，但是只能防护一些小型cc攻击，大点的攻击还是得人机验证，只是小白刚开始是了解这些防火墙。其次即使waf带有人机验证等或者能防住cc，也建议在cdn层面就把攻击拦住，因为即使源站有waf能防御cc攻击，也消耗源服务器的部分资源。（如宝塔nginx防火墙正常工作，下发人机验证页面，但是请求太多了，人机页面下发的流量就让服务器资源耗尽了）

好像客户端还可以请求强制回源？攻击者会不会利用这个绕过cdn？

客户端可能带强制回源请求，那么你设置cdn不听他的要求就行了，照样不回源（普通cdn可能没有这个设置，wafcdn都有的）

其次nginx防火墙和cdn的cc机制都能封攻击者ip。如果攻击者卡正常用户的请求速率门槛打，就无法通过速率识别攻击者，然后就是拼人力和资源了，他卡普通用户的速率，就需要一个正常用户的资源，这个时候我们只能上更好的服务器跟他对拼了，还可以开每一个用户打开网页都需要人机验证（对正常用户可能不友好），那么他就需要人力去人机验证，他的攻击成本就比你防御还高，没有那种傻子。

但是可能有高手定制打你，你总有防御不到的盲区的地方，这个时候你也得花钱找高手，

宝塔的nginx防火墙需要给cdn加上白名单吗？会不会因为cc防护规则，封cdn的ip

注意，你源站服务器上安装的防火墙什么cc策略比如单ip访问url30次就拉黑，这些策略对cc有点点用，不过一定记得要把cdn的所有ip拉入白名单，不然他会把cdn也拉黑，有的cdn节点是智能分配的不是固定的，你可以联系cdn厂家为你提供动态接口获取动态cdn的ip，动态拉入白名单。（如果防火墙没有识别cdn中header以此知道真正请求者的功能，就需要给cdn加上白名单，这样的话所有请求也都会算是cdn在请求，然而cdn又是白名单，那这个防火墙直接失效了，所以一般防火墙都有识别header的功能的）

经过测试niginx防火墙不需要将cdn的ip拉入白名单，因为cdn通常会设置请求头header中的real_ip_header和forward参数，nginx可以从此参数知道真正请求者的ip，虽然请求者的请求是通过cdn请求的，但是这次请求仍然会算是请求者在请求，而不是算cdn的ip在请求，所以即使触发cc防护规则，封的是请求者的ip而不会是cdn的ip。也就是说nginx防火墙通过cdn请求的header知道真正的请求者ip。举一反三即使你给cdn的ip加上白名单，那么请求者通过cdn的ip（在白名单内）频繁请求也会被封的（封请求者，cdn本就不会封，而且它在白名单内，更加不会封）。

那么攻击者会不会伪造自己是cdn，欺骗防火墙，然后伪造header，以达到带入大量恶意流量？

目前我没遇到过，我们配置cdn的时候都上传了证书，应该有验证的，伪造不了，我自己cc攻击测试的时候也没遇到过这种伪造。

服务器自带的firewall防火墙取的是请求者的哪个ip？

我此前设置过移除服务器的http和https服务，也就是说所有人不能访问我的服务器打开我的网站，但是我设置了cdn的白名单在firewall，此时网站是正常访问的，以此可以知道在firewall所有的请求ip就是算的当前实际请求的ip，不会和nginx防火墙一样去看什么header去得到真实请求者的ip。否则如果是去得到真实请求者的ip，我是禁止他们访问的，网站怎么会正常打开呢。

宝塔面板中的网站的日志也是显示当前实际请求ip，不会去分析什么header

cos存储桶配置

1-按照各大厂商的防御机制都配置一下。

2-加入图片压缩，比如图片上传到cos中，自动把图片全部转为webp格式，可以节省流量，用户访问也快。（有的cdn也有自动下发用户为webp格式图片，但是你cos下发给cdn的还是jpg等，不能节省cos流量）

腾讯云cos的图片处理是通过用户访问的时候转化为webp，用户每次访问都得计费，cos存储的还是jpg等。如下方法可以直接把cos内存的就是webp，那么用户直接访问的也是webp，所以收费一次即可。

数据万象，用户上传图片到cos自动存储为webp格式，https://cloud.tencent.com/document/product/460/46488

看不懂就开工单

cos存储桶计费

1-cos的流量计费也区分这几种的

1-直接请求cos会产生外网下行流量
2-使用腾讯云的cdn请求cos，会产生cdn的流量和cdn回源流量,不产生外网下行流量
3-如果用的不是腾讯云的cdn，通过cdn去请求，也直接算请求cos产生的外网下行流量，没有cdn回原流量那一说
4-你使用的是第三方其他人代理的腾讯云cdn或者eo，那也是算外网下行流量

2-https://developer.aliyun.com/article/1100316腾讯云的cosfs，可以把存储桶当服务器硬盘

3-然后大厂服务器同区域服务器，互相通信免费，所以可以实现服务器请求cos免费

4-如果用了数据万象处理数据（比如图片），就不需要花钱买cos下行流量了，但是需要买数据万象的流量

但是基础图片处理虽然有免费额度，但是只是抵扣你消耗的基础图片处理


数据万象外网下行流量需要买对应资源包的

和cos下行流量其实差不多的价格，不算活动，cos下行流量包是按月每个月刷新的，如果买一个月100g一年是400块

数据万象流量是按年算，一年1t是100块，但是1:4消耗，也就是是实际流量是使用cos下行流量的时候的四倍，，也得买4t，也是400块

差不多

注意事项

1-在修改东西之前一定要备份，要清楚的找到自己修改了什么，步骤都要日志记录。

2-nginx防火墙，各种插件防CC，防渗透插件等，cdn防火墙，这些功能的使用要清楚基本原理，否则互相冲突，正常访问都禁止了，你也不知道谁禁的，那就麻烦了。（比如要给cdn的ip加白名单，否则防火墙会拦截。）

比如网站加cdn后，源服务器只和cdn通信，那源服务器上的这些cc的waf其实没用了对吗？，因为其实源服务器是和14个cdn节点在通信，但是这14个节点都加上白名单，也不能限速。

不对，很明显源服务器虽然只和cdn通信，但是源服务器的cc防火墙也能拦截客户端ip（因为cdn会把客户端ip当作参数传给源服务器），兼容的防火墙就能通过参数再去防御（限速封禁ip等）。

3-cdn厂商一定要正规或值得信任，因为接入cdn解析，其实用户访问你域名获取的资源，cdn厂商是可以控制的。

4-设置cdn被打死不回源。（这个不是设置dns里面的，源站ip不提供解析服务，而是cdn的设置让cdn被打死不回源，如果没有设置就联系客服）

5-不要设置什么搜索引擎回源，攻击者可能伪造搜索引擎和蜘蛛等，去获取你的源ip

6-不要让服务器有直接获取外部资源的接口

如果你的网站是xxx.com，你的网站有请求url的接口，如下的url.php，那攻击者调用www.xxx.cn/url.php?img=https://www.攻击者的网站.com/1.jpeg

如上你的源服务器就请求了攻击者的资源，攻击者就得到了你的源ip。

子比是没有这种接口的。但是平时安装wordpress插件等，都要认真审查内容代码，防止有后门。

7-在服务器防火墙中设置除了cdn的ip访问，这样就算你的源ip被别人抓到了，也攻击不了你，因为你只给cdn的ip访问提供服务，用户的访问都是通过cdn为媒介的。

被攻击紧急措施

其实找个好点的带人机验证的cdn，面对小学生那些免费攻击，基本上99%稳了。

只是天外有天人外有人，不得不防，如果用的大厂的cos和scdn最好还是了解原理，稳一点做好防刷比较好。

你得理解所有攻击，分析出自己的问题，是漏源站了，还是被cc了，根据情况去防护。

1-如果遇到长时间的ddos，且自己无法解决，为了防止百度等搜索引擎降低seo权重和k站，可以在百度平台提交闭站保护。

2-创建一个静态页面或者通过小飞兔等软件把网站页面以静态的方式都爬取下来；然后挂载在cloudpage或github或者gitee或者vercel上，让用户有静态页面显示，只是不能交互了，（一般有月流量限制），ddos最多刷量，但是刷一个换个号继续部署就行。

这是没钱的学生做法，实际上，保存静态访问很简单，你随便上个cdn，cdn把动态请求关了（比如设置？参数后全部忽略，基本上源站不会被死的，目的相对于全部让cdn（比如cloudflare）去提供服务了，源站只下发一次静态资源给全国各地的cdn节点）

把动态页面变成静态页面，挂个cf，根本就打不死，能被打死的都是动态页面

3-平时接入国内cdn线路为默认，接入cf为境外ip服务，当被攻击了，国内没有人机验证的cdn如果防不住cc，就全站接入cf，也就是说国内cdn直接关了，把cf全站接入，禁止国外访问，源站只允许cdn访问。如果需要国内高速访问就花钱接入国内带有滑块验证等人机验证的的cdn。

源站把http和https关了，只准cdn节点访问其实没啥用，因为如果对面没你源ip，你开不开无所谓，都是cdn在服务，就算cdn被打死回源，然后你虽然没有http/s服务，但是ip攻击者照样获取了，直接用其他ddos攻击其他协议打死你就行了。

tips：同一个主机记录，比如主机记录为www,类型为cname，可以设置多个不同的记录值的，线路也可以一样，也就是说可以同时接入多个cdn，dns系统一般会选择最好的一个cdn节点为用户提供服务。

这个只是分担第四层流量，第七次的请求攻击，如果这些cdn没cc策略，你接入一万个都是一样会c到你源服务器。

4-如果源站泄露，找到泄露点修复（比如ssl证书泄露），再更换源ip

5-禁止国外访问，封国外

禁国外是在服务器防火墙层面设置，或者nginx层面，也可以叫cdn封国外；但是在dns封国外没用的，比如你设置个线路境外，返回127.0.0.1，这根本没用，因为dns解析是可以改的。攻击者发现回环了，可能自定义dns解析去攻击你。(当然这是攻击者针对攻击你，小学生用tg的机器人攻击你，没这自定义dns解析的功能)

6-源站设置只允许cdn访问，也就是说把cdn的ip全部加入白名单，其他的直接移除http和https访问。

再次提醒，你必须熟悉各应用如dns，cdn，cos，服务器防火墙，nginx防火墙和各自waf防火墙是部署在哪作用于哪的，如你得知道用户访问你的网站，流量的一步一步是怎么走的，如流量到源站肯定先过服务器防火墙再到nginx防火墙等等，否则搞着搞着网站就出问题打不开了或者各种问题。。

再比如宝塔nginx防火墙付费版就有人机验证waf，但是这个是保护源站的，防止不了cdn被刷量，因为不是cdn的waf，如果你不懂流量走的过程的话，就可能会白买。

其次各大平台配置等大同小异，但是可能有点不一样，建议用功能的时候先看文档，如nginx防火墙等防火墙的白名单肯定是白名单成员不受防火墙的策略限制，比如nginx的cc封禁规则不会封白名单ip，其他用户正常访问也不会拦截，只在触发规则后拦截。但是如果是cdn控制台有一个白名单，比如UA白名单和referer白名单，有可能你设置了，就是只能白名单访问，其他访问者直接是拒绝访问。遇到网站大不了，可以看看是被cdn拦截还是服务器拦截，去分析就行。

7-如果你的业务正规，你可以和另一个公司签一个合同什么的金额写100w（如果你公司网站没有价值，叔叔不管），侧面证明你的网站价值100w，封国外访问，然后被攻击了，直接报警和报网安，直接上门抓人。

8-如果你的cdn和cos被刷欠费，你可以去说明情况，争取减免费用或者减免一半或者三分之二的费用。

9-如果你的服务器被打死了，无法解封，你要保证服务，那么你可以直接用备份恢复到其他服务器即可，如果没有备份，如果你是大厂服务器，你可以通过镜像（永远服务器内所有内容和环境）去恢复，大厂封服务器期间也是可以生成镜像的。

10-当源站暴露后，且对面是高手，无法隐藏源站，那就先设置源站防火墙设置只允许cdn访问防御第四层ddos和第七层cc攻击，这样后cc基本上能解决，如果第四层还是顶不住，就换高防源站加强防御ddos第四层。

11-被攻击刷量日志保留当证据，申请费用减免，到时报警抓人也有证据。

12-如果是源站ip漏了导致的服务器宕机或者被定制cc攻击了，cdn和nginx的防cc盾防不住，那可以直接设置网站cdn全缓存，相对于源站不提供服务了，cdn全下发静态页面，保证静态访问，只要cdn不死，网站就能打开。

短信防刷

1-在服务商控制台或者本身程序前后端，限制IP和设备和手机号码上限，这些都是基本操作，应该只是增加攻击成本，对大佬来说基本上没啥用，实现自动刷只是时间问题。（有总比没有好，起码增加了攻击成本和门槛）

2-最后的关键点在于使用一个无法自动识别通过的人机识别交互，比如滑块识别验证码等。接入极验。

传统的验证码识别，现在有打码技术，所以需要选用最新的人机交互识别。只要攻击者必须人工识别验证码，无法自动化攻击，那么他也就不会攻击了，因为他的人工成本比我们还高。

站点优化

1-站点速度分为，解析速度+连接速度+下载速度+重定向所需时间

解析速度：

dns解析，这个没办法，一般麻烦的也够用了，你想更快就得去买付费的dns解析，比如四五十一年的那些，在域名服务商解析控制台那里就可以买。

连接速度：

加入cdn，找个稳的好用的cdn

下载速度：

无论再怎么优化站内文件，也和你的服务器配置带宽，和cdn的带宽，和对象存储的带宽等配置相关。

视频统一无损压缩一次，大视频单独进行m3u8切片处理。

小视频没必要进行m3u8切片处理，因为mp4本身也有类似切片的功能，一段1min的视频，大概会切成5份，每份20s，也够用了；进行切片分成如100份,反而画蛇添足。

图片输出为webp（cdn中一般有，cos中也有，或者wp插件也有，但是作用的地方不同，根据需求选择）

重定向：

一般我们会把主域名，比如通过宝塔网站重定向功能，将baidu.com的访问重定向到www.baidu.com，这样有利于seo。（不要在dns中直接用cname配置@到www，没用，不推荐，至于无所谓我知识有限）除此之外的重定向基本都是多余的，我们根据自身情况去优化。可以去网站itdog.cn去查看自己网站的重定向次数。

2-什么nginx优化配置，比如zstd压缩比设置为6，还有那个配置文件内的详细设置，你如果懂，可以自己参考优化；mysql优化配置，还有服务器swap等都可以百度设置一下。

参考链接：https://www.zibll.com/forum-post/16745.html

3-使用quic协议的http3，让网站速度更快。20240920，这个时间点支持http3的nginx，宝塔官方是没有的（目前好像有了，nginx1.25以上即可），需要自己去nginx官方找，然后通过防火墙命令安装。如果你用了cdn，cdn也得支持和开启http3才行，否则你服务器下发给cdn的是http3协议，但是cdn不支持http3的话，下发给用户的还是通过http1/2协议。

教程：

https://www.xcbtmw.com/30165.html/comment-page-1#comment-9224

https://zhuanlan.zhihu.com/p/687534490

https://zhujib.com/document/10050.html

https://www.xcbtmw.com/30007.html

如上教程配置后，如果quic不生效。

1-你的cdn不支持或者没打开http3。

2-大概率是宝塔nginx默认内置安装的openssl为1.1.1导致，需要升级到3.3.1以上，教程如下：https://www.zhanzhangb.cn/tutorials/up-openssl-for-nginx.html（因为bt官方下载的nginx的openssl内置的就是1.1.1你去nginx.sh改成3.3.2然后编译都不生效的，还是会装成1.1.1，所以教程中就是下载了一个3.3.1以上的openssl然后放到服务器本地，然后在nginx.sh中把openssl的编译改成到本地获取文件。最后编译nginx.sh；教程中重新获取了宝塔官方的nginx.sh命名为了zzbnginx.sh，我们可以不这样命名，也可以不重新获取，因为我们的原nginx.sh可能就有你自己配置的其他nginx的模块，重新获取就覆盖了，我们直接在原nginx.sh中修改openssl的文件从服务器本地获取就行了。）

tips:

如果你的静态资源不在服务器本地，而是在腾讯云或者阿里云等的存储通中，那么无法实现h3，因为h3是一种传输协议，如上教程也只是让我们服务器下发资源通过http3协议，当服务器有cdn，那么下发资源给cdn的时候就是通过http3传输；但是我们无法左右腾讯云和阿里云的下发协议，所以无法设置腾讯云存储通下发给用户或者cdn的协议为h3，不过如果你加了cdn去加速存储通，那么可以在cdn平台为具体资源域名添加响应报头（名称:Alt-Svc,值：h3=”:443”; ma=15768000; persist=1）实现cdn下发给客户端的h3传输。

4-加入图片压缩，比如图片上传到cos中，自动把图片全部转为webp格式，可以节省流量，用户访问也快。（有的cdn也有自动下发用户为webp格式图片，但是你cos下发给cdn的还是jpg等，不能节省cos流量）

上传时转化：

方法一：

数据万象，通过数据工作流的方式，检测到cos中有新图片上传过来。自动生成一个webp格式的图，文档：https://cloud.tencent.com/document/product/460/46488（工作流你们我们还可以加入水印或者其他操作，自己去研究下文档即可）

工作流中用到的函数也计费的，但是我们是自己上传的图片转换一次就行了，费用基本忽略不计。

缺点：当前我们用的wp插件上传后，用户上传的是jpg，访问链接就是jpg后缀，我们cos中虽然有了webp，d，但是用户前台访问的链接还是jpg的，需要额外配置用户前台访问图片的后缀。

如何配置用户前台访问图片的后缀？如下代码加入到wp主题文件中的funtions.php的末尾即可

//配合cos工作流使用，作用：将新上传的后缀为jpg，jepg，png的图片转化为.webp后缀链接，输出给前台用户<开始>
function modify_image_url_to_webp($url) {
// 检查图片格式
if (preg_match(‘/.(jpg|jpeg|png)$/i’, $url)) {
// 替换后缀为 .webp
$url = preg_replace(‘/.(jpg|jpeg|png)$/i’, ‘.webp’, $url);
}
return $url;
}
add_filter(‘wp_get_attachment_url’, ‘modify_image_url_to_webp’);
//配合cos工作流使用，作用：将新上传的后缀为jpg，jepg，png的图片转化为.webp后缀链接，输出给前台用户<结束>

如下代码只影响新上传的图片，如果你要所有图片都转为webp，那你得先把存储通内图片文件都转化一次，然后自己去研究一下代码，问gpt就像。

注意工作流输出文件名字${InputName}_${RunId}.${ext}设置为${InputName}即可，否则用如上方法改了文件后缀，但是文件名称又不同。

优点：只计费一次转化，cos中就存在webp图片，用户前台直接访问webp文件即可。

缺点：1-如果你用这个转webp，不一定图片就变小了，还可能变大，一般几百kb情况下会变小三分之一，几十kb的不变差别不大，几mb的还会翻倍变大

2-通过如上操作，如你设置的是图片转webp，但只是你存储桶中有webp后缀的文件，你的程序中前台用户访问的还是根据主题程序设置的那个后缀，所以你需要另行设置。

方法二：

https://cloud.tencent.com/document/product/436/60453

如此文档中的“上传时处理”，其实cos中的数据万象提供的服务是支持上传的时候就转化操作图片，然后存入cos中的，但是当前wp的cos插件都不支持，只能自己去写代码写插件，门槛高。

上传时就处理，意思是，无论是我们管理员还是用户，在上传图片的时候，本质是上传到我们的服务器或者存储桶，这里讨论的是存储桶，那么腾讯云存储桶这个配置就是，让用户上传的时候，把图片直接变成你想要的格式和进行你想要操作。但是需要修改程序，也就是我们wordpress主题的上传图片的代码来配合腾讯云，一般人也不会改。

下载时转化：

方法三：1-打开数据万象后，把前台用户的请求图片链接加上如：?imageMogr2/format/webp的参数即可，用户访问的就是webp图片。（现在Wordpress里面的cos插件基本都支持此功能）

优点：简单，用插件开启就行了，不需要自己写代码配置。

缺点：用户每访问一次，都调用了一次转化api，都要计费一次。

如果你只要图片的水印和转化为webp功能，用方法三就行了，因为水印和webp功能属于基础图片处理，不是按次数计费，而是按流量计费，而且每个月送10tb流量，根本用不完。其他的高级图片处理，按照次数付费的那种，就用方法一和二。

方法三，示例图片转为webp和加上水印：

将水印文字内容进行URL安全的Base64编码。例如，”示例水印”编码后的字符串为5L2g5aW977yM5LiW55WM77yB。
将编码后的水印文字添加到请求URL中，如下所示：
1.png?imageMogr2/format/webp&watermark/2/text/5L2g5aW977yM5LiW55WM77yB/fill/IzNEM0QzRA/fontsize/20/dissolve/50/gravity/SouthEast
其中：
watermark/2 表示当前的处理为文字水印。
/text/5L2g5aW977yM5LiW55WM77yB 是编码后的水印文字内容。
/fill/IzNEM0QzRA 表示水印文字颜色，这里使用的是黑色。
/fontsize/20 表示水印文字大小，这里设置为20像素。
/dissolve/50 表示水印透明度，这里设置为50%。
/gravity/SouthEast 表示水印位置为右下角。

其中前面的的?imageMogr2/format/webp是转化为webp的参数，后面是水印参数，用&连接，还有其他需求也用&连接即可。

计费和流量走向：设置用户前台看到的链接就是1.png?imageMogr2/format/webpcos（wp的插件都有这些功能），当用户请求上述链接后，cos先把图片转为webp，要消耗数据万象的基础处理的流量，然后下发给用户客户端，再占用cos下行流量。

计费文档：https://cloud.tencent.com/document/product/460/58117

操作文档：https://cloud.tencent.com/document/product/460/6951

图片基础处理和图片高级压缩默认支持3000QPS，如果您的总请求QPS峰值高于3000，请联系您的商务经理或 提交工单 咨询高QPS的开通及计费事宜。

实际上，用了万象数据的这个功能，用户请求cos的请求中就带参数了，会导致直接回源，攻击者可以利用这个刷cos的流量。所以我们如果要用这个功能，最好固定使用的万象功能，比如水印和转webp，然后设置用户的请求到cdn，忽略参数，cdn回源的时候不忽略参数，这样每张图片cos万象处理一次给cdn缓存后，cdn下发给用户的也是带水印的webp图片。（用了cdn和cos，只要你配置正确，正常来说cos根本不需要花多少流量，主要是cdn的流量）

或者你固定万象功能后，记好参数，如?imageMogr2/format/webp|watermark/2/text/SmluTmlhblguY29t/fill/IzNEM0QzRA/fontsize/20/dissolve/50/gravity/SouthEast，除了这个参数的请求全部禁止，然后这个参数也会被cdn记住下发，那么就不会回源和被刷了。

(两个不同操作，如上的转webp和后面的水印，两个之间用|拼接)

5-开启pwa功能，也就是用户断网了，还可以通过本地缓存访问网站，而且有提示用户安装浏览器的你的网站应用的功能。你是WP程序就直接插件搜PWA for WP 作者:Magazine3 |

6-大视频通过切片m3u8格式，或者直接设置用户上传视频大小，或者中小视频给用户提供一个在线视频压缩网站（没办法通过cos压缩，视频压缩太占性能了，cos不通过，以后提供了也很贵，我们服务器去压缩更加不可能）

7-缩略图，如用户上传了一张2000x1000（3mb）的图片当作头像，而缩略图就是那个自动把2000x1000变成200x100（30kb）大小图片当作头像的功能；亦或者文章详情内图片2000x1000，那么文章外简介图片肯定尺寸要小很多，这个时候缩略图就会自动裁剪到对应尺寸显示；那么用户和我们都能节省流量。

上述的wp插件设置数据万象加水印和转化为webp，一般作用在用户上传的那一张图片（具体看设置吧），是不作用于缩略图的，缩略图是你自己程序或者wordpress的后续的相应设置生成的。

当你的缩略图不生效，比如用户上传了一张2000x1000（3mb）的图片1.png当作头像，在页面显示头像肯定是会照样缩放的，但是请求的图片不是1.png_200x100,而是原图2000x1000那张，就浪费了流量，你可以开启php的拓展imagemagic试试能不能恢复。

8-如果你站点中不同页面用到了不同的域名或不同域名资源，那可以用dns-prefetch提前解析dns，教程https://www.zibll.com/forum-post/19199.html

9-如下博主的方法不错，1和3和4我都开启了，建议先开br压缩后开quic

tips：quic协议基于udp，需要把服务器和宝塔防火墙等中的udp的443端口放行

http3检测网站https://http3check.net/和https://http3.wcode.net/

• https://www.xcbtmw.com/30167.html总教程

• 1-宝塔面板卸载原Nginx编译Brotli压缩（挺好的，我们去抖音官网看，发现也打开了br压缩，很多技术要不要开启，可以去参考大厂，它是用于代替gzip的，压缩的是html和js和css）

• 2-WordPress网站宝塔面板开启HSTS预加载

• 3-WordPress网站Linux服务器宝塔面板开启BBR加速

• 4-开启quichttps://www.xcbtmw.com/30165.html/comment-page-1#comment-9224

  注意博主应该是centos系统，如果你是ubuntu系统，命令不同，需要自己问gpt等。如开启bbr，ubuntu系统为：

  1. 加载 BBR 模块：

     sudo modprobe tcp_bbr

  2. 将 BBR 添加到系统模块加载列表：

     echo "tcp_bbr" | sudo tee /etc/modules-load.d/bbr.conf

  3. 启用 BBR 拥塞控制算法：

     sudo sysctl -w net.ipv4.tcp_congestion_control=bbr

  4. 验证是否启用了 BBR：

     sysctl net.ipv4.tcp_congestion_control

  如果输出显示 net.ipv4.tcp_congestion_control = bbr，那么 BBR 已成功启用。

证书部署问题

tips：证书下发的dns记录设置，证书下发后就可以删除的。

1-如果是宝塔看到或服务器明确配置了新证书，但是用户访问就是原先过期的老证书，很可能是用的cdn服务商的证书没更新，需要联系cdn服务商。

2-现在大厂的免费证书都是三个月，而且只保护单域名，虽然每年可以申请二十张，但对子域名多的人来说，属实麻烦，其实有很多地方可以申请免费的三个月通配符证书。

https://www.shangyexinzhi.com/article/19577653.html

https://zhuanlan.zhihu.com/p/704965374

https://www.jb51.net/server/315990lvl.htm

开发常见问题

1-接入qq登录后，我发现百度打开网站qq登录成功后，不跳转回百度，导致登录失败，而其他浏览器可以。

这是因为，大多数浏览器支持 OAuth 回调机制，所以可以正常回调到原浏览器登录，而我用的是百度极速版，它没做兼容，这也没办法，但是一般所有正式浏览器都是支持 OAuth 回调机制的。

百度app无法qq登录，谁也不行，是百度的问题

2-php和mysql必须编译安装，否则容易出错。（编译安装mysq都得2g内存往上的服务器，如果你就2g，最好先编译安装了mysql再安装其他软件，防止内存不够编译安装mysql）

3-当你换了服务器ip，你原先用到的各方面配置，比如微信的公众号服务里面有一个ip白名单，也得改成你的新ip（平时最好把这些都记住，哪些要改）

微信公众号验证码功能和自动回复等开发功能详情：

但是如果你换了ip还是功能不起作用，或者提交开发者配置信息，提示：请求错误请稍后重试；可以去看看是不是网站有cdn或者防火墙的日志，应该是把微信的请求拦截了。没有拦截的情况下微信会发出如下路径的请求。 /oauth/weixingzh/callback

亚洲 中国 上海】 175.24.214.222 - - [23/Sep/2024:11:21:56 +0800] ＂POST /oauth/weixingzh/callback?signature=aa237c3fe6b88cc15eed8b489485aefe7efc049e&timestamp=1727061716&nonce=1422432825&openid=oFGSd6B5Kuf5jELoJdRdVX0N5pyU HTTP/1.1＂ 200 480 ＂-＂ ＂Mozilla/4.0＂

流程：用户在公众号发送信息：用户发送文本：验证码——-微信接收到用户信息，下发请求给你设置的域名回调地址——–你的回调地址服务器接收到请求，回应请求内容（当前服务器必须是微信设置的白名单内）——–微信接收到信息，将内容在公众号聊天框内发送给用户。

4-qq登录后的回调页面，和易支付的支付后回调页面，提示页面不可访问和不存在，但是防火墙和cdn等没有拦截。

去看看防盗链加上qq.com和支付域名试试。

大家都知道cos的防盗链功能是防止在网站内盗用图片。

但是cdn中的referer，网站本身就是一个文件，cdn存储了静态文件，文件也会被盗用，所以cdn的防盗链可能把文件的下发也拦截。

5-当我们使用宝塔，里面部署了多个网站，有的网站开起了https，有的只有http，那么http的网站会默认提示不安全，然后跳转到https那个网站。解决方法：网站—高级设置—–开启HTTPS防窜站。

6-腾讯云的存储通的referer防盗链，你设置*.xxx.com为白名单，是不包括主域名xxx.com为白名单的，所以你注意的话，可能导致被拦截。

7-qq回调页面的referer是xui.ptlogin2.qq.com，所以你白名单是*.qq.com或者qq.com都不生效，你必须填写xui.ptlogin2.qq.com或者三级域名的通配符。

*.qq.com只是一级通配符，只能管一级，比如www.qq.com和dada.qq.com等等，三级和四级等域名如xxx.dasda.qq.com是不包含的。

我建议图片视频等静态资源，放到一个特定的子域名进行cdn加速，可以开启防盗链，因为从你网站访问图片，referer就是你自己的网站主域名，加一个白名单就行了。

但是加速源站主域名中的js和css等，平时cdn也会缓存js和css这些，就不要开启防盗链，因为这个开启后，从百度搜索引擎进来的请求，referer是baidu.com，不加白名单就会拦截，还有各种其他你想不到的搜索引擎，或者上面的qq登录问题和支付回调问题，你不知道哪里会被拦截出问题；而且这些js和css本身别人也不会盗用，如果是攻击者攻击，你加防盗链也没用，人家会伪装referer，所以根本没有开启防盗链的必要。

8-你如果改了源代码比如某个js，不起效果，那可能是因为你的cdn‘缓存了，你需要刷新cdn的那个js的url

网站运维

大厂的cdn和对象存储一般是带宽无限（你可以设置，但它可以做到无限），流量收费。而有的小厂代理什么的，有那种无限流量，带宽有限的付费，怕刷流量可以用这种，不过得搞个正规的备案了的服务商，不然有风险。

1-上cdn和对象存储oss/cos等。（记得设置限制和防刷）

存储oss/cos可以设置私用访问，只允许cdn来访问，那么存储流量就不会被刷，但是cdn就遭罪了，不过cdn流量比存储的便宜一点。

2-关闭境外访问，防海外ip的ddos。（注意要在dns层面或者机房层面就禁止，服务器禁止了，cdn没禁，流量费照样起飞）

3-网站备案，备案后有人攻击你，你报警，他得进去。

参考：https://blog.anheyu.com/posts/dfb3.html
为什么禁海外ip：
1-大宽度服务器一般是国外ip
2-国外ip抓不到不好查，而国内ipddos，即使是肉鸡，也能溯源查到攻击者的几率更大。
3-我们的站点也不需要让国外访问

3-将所有图片资源压缩替换为webp（可以设置不支持webp的浏览器照样显示原jpg和png（也得压缩）），一般这个功能在oss和cdn中可以设置。

4-服务器和cdn，oss等都上防盗链。

5-一定要定时备份站点！！！防止误操作或者被黑了删数据！！！不仅是备份在服务器磁盘，黑客把你权限拿了，你备份在磁盘的不是一样删，所以需要备份在本地硬盘或者网络腾讯云或者阿里云存储桶。教程：https://www.zibll.com/forum-post/34004.html

6-上redis缓存等。

运维小知识

`tips：不要把网站密码给别人，你要知道各密码的轻重缓急，如：

优先级一：服务器的ssh密码最重要，有这个密码，可以掌握服务器的所有东西，是系统层的最高权限，所以得安装ssh防爆破软件

优先级二：宝塔的账户密码和独立端口和地址，这个密码可以修改你部署所有网站的任何东西，是软件层的权限。

优先级三：数据库密码，这个可以修改你的程序的各用户密码，如果你是wp程序，他就能登录你的程序后台。

优先级四：wp等程序管理员密码，此可以登录你的程序后台对你的某个网站进行修改。

优先级五：优先级五中的某些密码重要程度媲美优先级一，各种配置密码，比如百度内容审核的密钥，和阿里云等的访问控制权限密钥（非常重要），这些一般会记录在wp程序后台中，上述任何密码被被他人窃取进入，优先级五的这些配置密码也得修改。

遇到问题不要急

方向比努力重要，遇到bug和预期之外的错误不要着急，要逐步分析，而不是乱搞。

比如当一个插件功能失效，然后搭建的另一个环境使用这个插件是正常的，那么就思考这个插件大概是做什么的，会被什么影响，然后两个环境一个失效一个正常，环境有哪些区别呢？然后有计划条理的去分析和调试。

当所有的检查都没问题，如果你是插件功能问题，可能是插件php版本不兼容。有的插件要求8.0以上有的需要8.0以下，只能联系作者兼容语法。（php大版本更新，语法会有些许变化，所有可以导致站点错误或功能失效）

1-阿里云企业邮箱是可以批量发送信息给客户的，百度教程即可，但是能发没用，容易垃圾箱，像不垃圾箱可能得另外给保护费。

2-百度竞价排名（https://e.baidu.com/）和快排,竞价排名是百度官方的，也就是花钱买广告就给你排第一位，快排是黑帽seo用蜘蛛池什么的（小旋风蜘蛛池一类或者模拟点击各种等等），让你的网站排到搜索引擎前面，被百度算法发现，可能会被k站。

主要看你网站有没有人访问，如果访问的人多，买个快排让用户更好的搜到是可以的，后续有用户数据支撑，百度会维持你的排名，如果快排到前面，没用户点击，一旦不买快排了，又会掉下去。

3-官方支付，APP，小程序，网站等等接口都是不一样的，要分别申请，QQ互联登录等也是一样

4-申请微信pc扫码登录的时候，认证微信开放平台的企业号要先打钱过去，完成了退钱，个人认证简单点，这个不是认证里面的开发者资质，开发者资质要账号通过了再另外认证，另外花300，然后才可以微信扫码登录。

QQ互联登录简单一点，个人注册，然后个人开发者认证也可以用，企业的应该多一些功能。

还有一个微信公众号登录，扫码关注公众号自动登录（和微信pc扫码登录不是一个东西），记住如果网站换了服务器，公众号登录里面要把新的服务器ip加入白名单

反正看文档就行了，一步一步来，有公司的就申请公司的。还有人用聚合登录，也就是自己不需要申请，用的别人的接口登录，别人会申请所有平台，qq，wx，alipay，微博，抖音，xiaomi，谷歌，facebook，github等等各种，你接入他的聚合登录，这些就可以直接用。自己能申请就申请，这些东西掌握在别人手里没必要。

5-seo名词

IP：指独立IP数。即IP地址，一个电脑可能一天换多个IP。

UV：Unique Visitor 指独立访客，即访问您网站的一台电脑客户端为一个访客;每天网站的独立访问，一个IP下可以有多个电脑，那么这多台电脑的独立访问就算是多次的uv。

PV：指页面浏览量，所有的页面被浏览的总次数，一个页面被刷下后PV就会增加1次。

6-搜狗基本上凉了，如果长时间不收录网站，可以搜狗发邮箱

7-购买了一个厂家的服务器，尽量dcdn和存储桶等服务也在同一个厂家购买，方便配置也可以节省些许流量，因为同厂商某些产品都在一个内网，数据交流不要钱。

8-CORS 白名单主要用于控制跨域请求，允许特定域的客户端访问服务器的资源，适用于API和动态交互。
Referer 头更常用于静态资源的引用控制，例如限制其他网站直接引用你的图片或文件。

9-腾讯云阿里云这些大厂凌晨都有客服，有问题去问就行。

10-重装和迁移差不多：

网站迁移https://www.bilibili.com/video/BV1wt411N7Yd/（别瞎搞，里面有注意事项，比如如果要批量改数据库里面的东西，要用换域名小工具(https://www.zibll.com/19369.html)，比如子比老唐的，否则直接sql直接修改会有序列化问题导致修改失败）

如果只是换服务器，而且都是同大厂服务器，可以直接镜像迁移，前提保证系统环境等一致，但是可能会出现兼容性和稳定的问题，有时间还是重新安装系统软件等比较好。

11-cdnfly和flexcdn和goedge都是cdn系统，就像卖云服务的都用智慧魔方系统搭建网站一样，cdnfly是卖cdn的人搭建cdn管理系统的。

https://doc.cdnfly.cn/gongnengjieshao.html

12-宝塔面板地址是分大小写的，有时候面板打不开，看一下地址是不是大小写错了

13-有时候你换了解析，ping还是有之前的ip，那是因为cdn的缓存

14-宝塔防火墙和一类cdn防火墙，那种人机验证，都有他们自定义的页面，里面有产品引流，我们可以自己去改了。这只是一个html一样的东西改了没如何影响，防火墙的实际操作比如限流操作是在.lua文件内设置的。

15-我们有时候设置ip地址白名单，发现设置了不起作用，有可能是你的ip变化了，我们的wifi等ipv4地址，前三位一般不变，但是第四位是经常动态分配的。

所以我们可以设置ip段，如111.234.445.1/24或者111.234.45.1——111.234.45.255的形式添加白名单

16-有的机房和cdn自称动态BGP，通俗来说就是他有这个，能让网络更快更稳定。

17-云服务器:能动态提升改变配置和加流量，分布式架构，一台物理机子出问题，他可以调其他的资源来弥补；

买服务器等不一定要大厂，但是买的厂家必须有公司和相关资质，小厂家为了利润经常超开超开，比如vps100g的母机只能开50台2g，有的厂商超开到60台，那就相当于实际每个人是跑不满的，只是把其他人没用的资源分配给其他用户使用。

18-百度的内容审核接口，用户上传图片，图片先通过你程序设置的密钥上传到百度，百度返回是否通过，通过则再进入cos。

19-源ip开启就是在提供访问服务的，不设置dns，只是让攻击者不知道源ip，所以无法攻击，但是攻击者溯源到了ip，就可以直接攻击了。

可以在服务器防火墙层面设置只允许cdn节点访问，对方拿到你的源ip也没办法对你进行第四层ddos攻击，那么攻击就只能通过cdn的ip进来，进行第七次的cc的形式攻击，而cdn也有cc防护，所以第七层也攻击不了。

20-远程连接服务器

不一定需要xshell等，电脑打开cmd控制台或者git bash等控制台都可以，然后输入以下命令：ssh username@server_ip_address，其中username是您的用户名，server_ip_address是您的云服务器的IP地址。

注意：ubuntu的默认用户是ubuntu不是root

21-安装宝塔后，可以下载一个宝塔app绑定手机。

22-cos和oss目前是放不了手机app安装包的，除非那个安装包软件有备案。

23-我们想把安装包放到网盘上，但是大部分网盘不开vip没直链的，不能直接下载，必须跳转网盘网站下载，即使抓取的直链链接，最多一天就失效了。

24-当宝塔面板地址记不得了，进入服务器的root权限，输入命令bt14 等即可查看和操作宝塔面板参数。

25-cdn命中率一般要达到90%以上，否则就是你没设置好缓存策略等，用了存储通cos和cdn，一般存储通流量只有cdn流量的十分之一不到。子比官方用的腾讯云的eo基础班，每个月500gcdn流量基本够用了。

26-网站套壳打包为APP

方法一：利用uniapp将网站打包(套壳)app
https://www.zibll.com/forum-post/29402.html?ref=26762

优点：可定制能力高，用户退出后，保留了网站数据，下一次进入，登录状态等还在。

缺点：就算只套壳，也有13mb左右

方法二：利用那种一键转app的工具箱，如一个木寒工具箱

优点:体积小，1m内

缺点：可定制能力低，虽然我们套壳也不需要定制能力，但其不能保留用户登录状态，app一退所有数据没了

共同缺点：没法使用原先网站的qq登录互联功能，因为qq网站应用的登录后回调的是一个我们的网站，所以不会回到我们的app内的webview，通过weview拦截回调也拦不住，而是打开浏览器，所以无法正确登录。（基本没办法解决，不然qq根本就不需要再额外申请app的互联了）

网站生成APP工具汇总https://zhuanlan.zhihu.com/p/706127154（没有全部测试，按理说也解决不了qq登录问题）

生成桌面端可以用electron（对我们只用来套个链接的来说，复杂冗余了），还可以用pake（简单轻量）

27-腾讯云和阿里云都有cos挂载功能的，宝塔也有配合挂载的软件腾讯云COSFS，如在腾讯云服务器管理页面，有一个对象存储的按钮，点进去可以设置挂载，基于cosfs,将腾讯云对象存储桶挂载到本地，像管理本地文件系统一样管理腾讯云对象存储文件。

宝塔还有各种配合大厂云服务的软件，比如腾讯云dns解析，和腾讯云cdn，方便设置配置的。

28-腾讯云 COS 等wp的插件，里面设置的url前缀和图片处理样式，基本是影响所有图片的，不是说只有新上传的图片才受影响。（媒体库内url直接全部改变，但是已经发布的文章和设置中的链接不会改变）

29-防止搜索恶意留痕https://www.zibll.com/forum-post/28383.html

30-网站不用了不续费了，记得注销备案，不然被其他人注册去，你的备案会保留，其他人违法可能找你。

31-如果cdn缓存了静态文件，那么你修改了js那些静态文件，记得刷新链接缓存。（记得刷新真实请求的链接，有时候带参数也得加上去，分情况的，不懂的话就原链接和真实请求带参的链接都刷新）

32-cdn中或者waf中有自定义页面，一般这个需要好一点的套餐才有，它的意思是在waf生效中，如人机验证页面，允许配置修改为自己的html等信息，如默认提示xxxcdnwaf正在保护站点，你可以自定义为“你自己的公司”正在保护站点。

33-百度进入网站误报风险申诉

1-如下网址申诉https://bsb.baidu.com/（有人处理回复）

2-发送邮件说明情况去bsb_help@baidu.com（有人处理回复）

3-https://ziyuan.baidu.com/feedback/list?type=zz站长工具去反馈，一直没人处理。

打人工电话没用，也是叫我们用方法一，百度手机app的客服也没用，说上报技术，也没有下文。

34-wp的Query Monitor插件可以检测页面缓存了多少，每个页面查询了多少mysql，有哪些重复sql等。

你得熟悉知道配置是干嘛的，比如opcache.revalidate_freq=60，这是设置apcache缓存php的检查时间的，你设置个600，等于你改了php文件，十分钟后在客户端才能生效。

nginx，php的opcache和redis等都可以优化配置

35-阿里云的企业邮箱和邮箱推送服务其实是两个不同的东西，邮箱推送服务是不依赖于企业邮箱的账号的，只依赖于域名。邮件推送服务目前也不支持设置头像。（20241009）

36-WP Super Cache和Redis Object Cache的区别

WP Super Cache 和 Redis Object Cache 都是用于提升 WordPress 网站性能的缓存插件，但它们的工作原理、用途和缓存层级不同。以下是它们的主要区别：

1. 缓存层级

• WP Super Cache：它是一种页面缓存（Page Cache）插件。它会将整个网页的 HTML 代码缓存下来，下次用户访问时直接提供缓存的静态 HTML 页面，减少服务器每次生成动态页面的开销。主要适用于静态内容的网站或不经常变化的页面。
• Redis Object Cache：它是一种对象缓存（Object Cache）插件，缓存的是数据库查询的结果或对象数据。它不会缓存整个网页，而是缓存数据库查询的结果和相关对象，帮助减少 WordPress 对数据库的频繁查询，提高动态内容的处理效率。

2. 工作原理

• WP Super Cache：
  • 静态 HTML 缓存：当用户访问页面时，WordPress 生成一个 HTML 页面，WP Super Cache 将这个页面保存为静态文件。当其他用户访问同样的页面时，服务器直接提供这个缓存的静态文件，减少 PHP 和数据库的处理时间。
  • 适用场景：适用于访客访问量较大的页面，如首页、博客文章页面，尤其对未登录用户的访问非常有效。对于登录用户，通常不缓存，以防止缓存不正确的个性化信息。
• Redis Object Cache：
  • 数据库查询缓存：Redis Object Cache 缓存的是 WordPress 的对象级数据（如数据库查询结果、API 请求的结果）。这些缓存数据被保存在 Redis 内存中，读取速度非常快，能够有效减少数据库的负担，特别是在复杂查询或动态内容较多的页面上。
  • 适用场景：适用于需要频繁数据库交互的动态内容页面，尤其是当页面数据经常更新时，Redis Object Cache 可以显著减少数据库的负载。

3. 缓存内容

• WP Super Cache
  • 缓存生成的静态 HTML 页面，适合于静态内容或者较少变化的页面。
  • 对未登录用户的效果最佳，因为它通常不缓存登录用户的页面（登录用户的页面可能包含个性化信息）。
• Redis Object Cache
  • 缓存数据库查询的结果，缓存的内容是数据库交互的对象和结果集，而不是静态的页面。
  • 适用于登录和未登录用户，因为它是对象级的缓存，可以加快整个网站的动态生成速度。

4. 使用场景

• WP Super Cache
  • 适用于博客、新闻站点、展示型网站等，尤其适合那些不需要频繁更新页面内容的网站。
  • 对于页面内容更新不频繁、用户互动较少的情况下，页面缓存可以极大提升加载速度。
• Redis Object Cache
  • 适用于需要频繁数据库查询的网站，或者用户交互频繁的站点，如论坛、电子商务网站、社区网站等。
  • 对于需要动态生成内容的网站，Redis Object Cache 提高了数据库查询的效率，使页面生成速度加快。

5. 对动态和静态网站的影响

• WP Super Cache
  • 更适合静态内容为主的网站，提升用户访问的响应速度，因为它通过减少服务器动态生成页面的次数来提升性能。
• Redis Object Cache
  • 更适合动态内容网站，减少每次访问对数据库的压力，尤其是在动态内容需要频繁更新的情况下，通过缓存对象数据来优化性能。

6. 兼容性

• WP Super Cache
  • WP Super Cache 会与 Redis Object Cache 共存，但它只会缓存静态页面。可以结合使用 WP Super Cache 缓存未登录用户的页面，而 Redis Object Cache 处理数据库查询和登录用户的数据缓存。
• Redis Object Cache
  • Redis Object Cache 通常与动态生成的内容密切相关，可以在 WP Super Cache 没有处理的部分起到作用，比如缓存用户特定的个性化内容。

7. 性能提升方式

• WP Super Cache：通过减少服务器生成页面的次数，降低 PHP 和数据库的负载，提供缓存的静态页面。
• Redis Object Cache：通过减少数据库查询次数，提升动态数据生成的速度，适用于数据库交互频繁的场景。

总结：

• WP Super Cache 是一个静态页面缓存插件，适合静态内容较多、访问量较大的网站。它主要减少动态生成页面的次数，提高未登录用户的访问速度。

• Redis Object Cache 是一个对象缓存插件，主要通过缓存数据库查询结果，减少对数据库的负担，适合动态内容较多、数据库交互频繁的网站。

• 还有opcache缓存的php的编译结果，其中什么是缓存的什么，我们必须清楚原理，不要去乱安装，否则可能出现动态页面变静态的情况。

• 还有cdn缓存，如果你设置了，有时还有pwa缓存（通过service workers实现，在f12中的应用程序可以看到），你得清楚这些东西各自的原理，不然动态请求被缓存了，现在有的cdn配置本就有点不清不楚，各自缓存再叠加，你根本恢复不过来，找不到问题所在。

• 还有一个缓存是宝塔的堡塔网站加速软件（宝塔加速很实用），这个原理就是缓存，多少秒内，发到源站的请求，把响应缓存，然后就可以减少php渲染html的压力，但是它会造成未登录用户html不更新，一定要去设置好缓存时间。

  我突然发现网站，未登录用户，在页面改变后（比如页面有新的评论），刷新一直不更新，cdn也没设置缓存html和php，redis关了也没用，后面找了一天才发现是这个插件导致的，默认缓存是缓存了一小时。一般我们设置3600秒就行了。

  登录了的是不缓存的，不登录才缓存，具体规则还可以自己设置，也就是说登录用户每次获取页面数据都是实时的，而不登录用户比如缓存3600s，就是十分钟后才会取到最新数据，一般网站里有文章和帖子，这些没登录的用户一小时的缓存也不影响，比如评论，没登录的人又不能和别人回复评论，实时刷新有什么用呢。（实际中，你设置缓存一小时，有时候因为各种因素，可能十多分钟就取最新数据了）

  php程序，用户发起动态请求，到源站就是请求myql拿数据，然后php编译出结果，然后编译结果和数据结合再变成html，然后下发给用户。

  1-redis就是缓存mysql内的响应数据，一般程序开发者就写更新，比如用户操作改变了数据的话，redis内的数据就也更新，其作用就是减少了对mysql的访问，速度就变快了。

  2-opcache就是缓存php的编译结果，因为你的php程序一般步修改就是不变的。（缓存多久可以改）

  3-nginx里面也可以设置缓存规则，一般不是专业的不建议修改

  4-堡塔网站加速就是缓存html那些东西，也可以设置图片和css和js和动态post等请求的缓存规则，主要让缓存时间内，用户请求直接下发缓存的html等，而不需要重新去php编译渲染出html，就减轻了cpu的压力。（里面的wordpress规则默认登录不缓存html，不登录会缓存）（这个缓存和supercache缓存原理差不多，都是缓存在服务器）

  这个缓存其实还是有用的，我们可以设置一分钟两分钟的缓存能增加很大的并发量；如果不设置缓存的话，做到真正的实时，那么用户每次请求都要服务器去用php生成新的html，压力会巨大(不是优化的问题，当你优化到极限，服务器的性能有限，而你没钱升级配置)，用itdog的网站测试50个ip打过来，cpu就100%了。（缓存html的文件流量本身不算什么，html在pwa和堡塔网站加速和cdn中都可以缓存，谁下发都无所谓，主要服务器是渲染出html很消耗cpu）

  教程：https://www.bt.cn/bbs/thread-52317-1-1.html

  5-pwa缓存，那个是把数据缓存在本地，也就是缓存时间用户刷新根本不发起请求，不仅缓存html，还缓存css，js，图片等各种，有设置网络优先和缓存优先等选项，你可以设置html不缓存（html缓存也不在这设置缓存，虽然pwa是在本地缓存节省流量，但是html的流量下发根本不算什么，在cdn中或者宝塔网站加速中缓存都可以），然后只缓存图片，可以节省带宽，反正图片都不变。（我测试好像图片也没多大用，还可能遇到问题，而且图片本身程序开发者也会设置一定时间的缓存，本来就会缓存，所以尽量不使用，除非你是开发者很懂）

  6-wp supercache那些插件缓存是把页面缓存在服务器，用户访问也直接下发html，和堡塔网站加速差不多，你的网站如果是动态的，最好不要用这玩意，这玩意的原理就注定了不可能实现动态，因为直接下发html，数据库数据都没取，怎么可能动态，（redis虽然缓存了，但是能动态，是因为用户每次更新操作数据库，redis都重新取数据了。supercache想动态只能每秒渲染一次所有html？显然不可能做到，这样是负负负优化；数据库变化了就重新渲染一次？也不可以，非常非常难维护，因为你不知道哪些数据对应哪些页面功能。），所以用个堡塔网站加速缓存设置30-60s就行了

  如果还卡，或者动态请求特别卡，那就得排查了，比如某个表加载很慢，冗余数据特别多等等，看看wp-options等表里面的数据有没有冗余。

37-宝塔中的nginx软件内的配置和网站中有一个配置文件，都是nginx配置，只是一个争对全局，一个是具体某个网站的nginx配置。

38-主域名xxx.com最好重定向到www.xxx.com，方便维护也有利于seo。可以nginx301永久重定向即可。

我有一次域名迁移后，我没印象配置过重定向，dns没有cname重定向，nginx也没有重定向，cdn也没有，不知道为什么就自己重定向了，但是速度很慢，比正常nginx配置了重定向下载速度和重定向速度慢（速度慢的原因应该就是这个我没配置但是生效的“可能错误的”重定向导致的），不知道怎么导致的，后来我也没找。

后面我自己加了nginx重定向（网站设置-配置文件），配置如下（这种方法是最好的，有的用设置-重定向等方法，不太好）

server
{
listen 80;
listen 443 ssl http2 ;
server_name xxx(你的域名).cn www.xxx(你的域名).cn;

​ if ($host = “xxx(你的域名).cn”) {
​ return 301 https://www.xxx(你的域名).cn$request_uri;
​ }
​ index index.php index.html index.htm default.php default.htm default.html;
​ root /www/wwwroot/xxx(你的域名).cn;

其他配置不变，重定向代码是这一段

if ($host = “xxx(你的域名).cn”) {
return 301 https://www.xxx(你的域名).cn$request_uri;
}

然后就恢复正常重定向和下载速度了。因为我自己在最开始就重定向了，就用不到那个“可能错误的”重定向了，自然也不会被那个“错误的没印象”的重定向拖累速度。

39-即使主域名重定向了，也得加cdn保护，防住泄露源ip

40-备份下载数据库的时候，可以多备份几次，看看大小是否一样。

41-如果你有闲置的电脑，可以把它变成一台服务器。

当你现在家里有宽带，有闲置电脑，你只需要把电脑安装一个ubutun系统，然后光猫打开ipv6，网线插电脑上，然后电脑装宝塔就行了。

然后外面套一层cdn，支持让用户ipv4访问我的电脑（因为你只有ipv6地址，没有ipv4（很难申请），如果用户的设备不支持ipv6的话，将无法访问你的服务，需要支持ipv6功能的cdn去转换）

细节上 路由器还要给主机配置dmz

教程：https://wnluo.com/202405051319.html（里面提到了内网穿透方法可以让用户访问用ipv4访问到我们的电脑服务，但是不稳定）

tips：当我们的电脑变成服务器，那么下发给用户流量的带宽就变成看上行带宽了，而不是我们买宽带的时候的下行带宽。、

42-我们nginx开启了页面压缩，cdn什么的有时候有html和css和js的优化压缩等功能就可以不开了，有时候冲突，导致有的js和css和html可能加载解压什么的出问题。

43-抖音内的全网搜索seo，其实就是头条搜索的seo

44-我们在运维网站中，或许功能或许美化，总会用别人的代码或者wordpress的插件，如下链接可以查杀后门

https://n.shellpub.com/

https://virusscan.jotti.org/zh-CN

45-ipv6现在国家正在逐步普及，如果你用了相关服务，记得把服务器等的防火墙中的端口的ipv6的ip也放行。

46-有时候你用的源码中有一些外部三方官方权威的js和css的，但是他们三方的网站可能禁止了国外访问，如果你要保证访问，可以把这些css和js改到服务器本地。

47-宝塔的一系列服务，比如basicauth账户密码忘记了，面板账户密码忘记了等等，都可以直接去服务器命令中输入bt，然后执行相应数字命令即可。

48-我建议国内高防cdn禁止国外的时候，不要禁止美国，如果你是普通cdn怕刷也可以禁了。因为谷歌搜索引擎的爬虫是美国的，但是当我阿里云解析设置境内解析到国内cdn，境外解析到cloudflare的时候，谷歌爬虫走的dns解析，解析到了国内的cdn，而不是解析到cloudflare，所以禁美国可能导致谷歌爬取失败。

49-SEO排名的话，现在和友链和外链关系不大，但是你可以稍微买点外链。主要是title和keywords和description和H1互相呼应，更新原创内容就行。收录的话可以买点蜘蛛什么的。现在快排百度很少了，都做抖音关键词快排去了（搜索关键词，你的视频出现在前面，然后四五块钱一天）。

50-有时候传到宝塔图片，可能被旋转方向了，可能是元数据某个地方出错了，可以修改文件名称再上传试几次可能会恢复。

51-宝塔都有301重定向功能的，如果你有多个网站想直接重定向到另外的网站，没必要在index等文件内写js去跳转，直接设置宝塔的重定向即可，还可以保留参数重定向。

52-51.la统计大部分人说会跳黄站，还是不要使用。

53-二级域名的证书的cname的dns解析，直接添加给主域名那里就行了

54-如果你的源站是ipv6，只要cdn支持ipv6，照样可以为不支持ipv6的用户提供服务，因为cdn会转为ipv4为用户提供服务。

55-如果你的服务器要搭建多个网站，一定要设置不同的数据库表前缀，不然如果再使用Redis的话，会导致数据错乱。

56-运维的防御和优化都是专门各方面细致的优化，不能被木桶效应。术业有专攻，建立去问大佬，不要自己瞎搞，事半功倍。

58-有很多做境外服务的，喜欢用hostinger这些虚拟主机做站点，因为其域名和dns解析和服务器和cdn等等都配套了，方便了计算机小白的使用，但是可自定义程度很低，像长期做专业平台的不要使用，你就放个静态页面的话，没问题。

59-Codestar Framework，插件主题框架，wordpress写插件都有一个框架为基础的，官方版需要购买授权，如果是企业用，建议买，也不贵

60-宝塔消息盒子在左上角，比如你安装个软件，比如mysql，不知道进度，就可以在消息盒子中看

61-wordpress官方的插件相对安全，因为首次发布插件会审核，但是也不一定，因为可能插件更新夹带私货（作者不能有自己的更新接口的，必须通过wordpress更新），但是更新一般是自动化审核可能被绕过，所以还是选用户基数大的插件比较好，但是所有上传wp官方的插件都是开源的，作者想付费和不开源，可以在插件介绍打广告引流到作者自己的网站。

62-现在edgeone也支持全局人机验证了，精细的规则人机验证好像后续也会出。

63-wp插件运维sg版本不同，导致无法使用问题（用插件，插件作者sg加密了）

有时候，对方sg加密了，你的php安装了sg，但是还是运行不了，原因是作者sg加密的适合是指定了php版本范围的的，比如sg加密范围是php8-8.2.那么你是php8.4，即使插件源代码与8.4不冲突，但是会与sg不兼容，sg无法在8.4中为你解密代码。你只能叫作者用sg加密一个兼容8.4版本的，或者你的php降级到8.2

64-不同插件不同程序，适配的php版本不同，遇到功能问题，看看是不是版本不兼容

65-页面一直加载，或一直在loading页面，可能是因为某个同步加载的资源，如某个js等第一时间获取不到导致的。等到请求完全超时后，页面才会显示。

66-编译安装比快速安装更稳定,性能也可能好一点

67-cf慢的是，cf到用户和cf到源站慢一点。静态资源比如eo回源到cf好像并不慢，因为这两个cdn之间是有很多节点的

68-负载均衡和节点和docker和k8s和集群是什么？

分布式和集群有交集，但是不是集群，分布式强调的是不同节点合作做一个任务，集群做的通常是一样的任务。例子：分布式爬虫系统
描述：
假设你有一个分布式爬虫系统，由三台服务器组成：
服务器A：专门爬取新闻网站
服务器B：专门爬取电商网站
服务器C：专门爬取论坛网站
它们各自负责不同的数据源，互不备份，数据和任务完全不同，但它们协同工作，把所有爬到的数据汇总到一个数据库中。
为什么是分布式但不是集群？
分布式：因为任务和数据被分散到不同机器上，大家分工协作完成整体目标。
不是集群：因为每台机器做的事情不同，互不备份，也不互为冗余，不能相互替代。



集群是做一样的任务对吧?集群例子来一个

对，集群通常是多台服务器做一样的任务，互为备份或负载分担。
例子：Web服务器集群
描述：
一个大型网站有成千上万的用户访问，为了保证高并发和高可用，部署了多台Web服务器（比如10台），这些服务器都运行着完全相同的代码和服务，对外提供同样的网站内容。
用户的请求通过负载均衡器（如Nginx、F5）分发到这些Web服务器中的任意一台。
为什么是集群？
每台服务器做的事情完全一样
任何一台宕机，其他服务器可以继续服务
主要目的是提升性能和可用性

69-微服务和docker什么区别

这是两个完全不同层面的概念：
微服务（Microservices）
是一种软件架构思想/设计模式
把一个大系统拆分成多个小的、独立的服务，每个服务负责单一业务功能
每个服务可以独立开发、部署、扩展、维护
服务之间通过API（如HTTP/REST、gRPC）通信
关注点：系统如何拆分、如何协作、如何独立演进
举例：
电商系统拆成用户服务、订单服务、商品服务、支付服务等，每个服务独立运行。


Docker
是一种容器化技术/工具
用于打包、分发和运行应用程序及其依赖环境
让应用在任何地方都能以相同方式运行（“一次构建，到处运行”）
关注点：应用如何打包、隔离、部署、迁移
举例：
你可以用Docker把“订单服务”打包成一个镜像，然后在任何服务器上用docker run启动。
关系
微服务是一种架构思想，Docker是一种实现和部署微服务的技术工具。
微服务可以用Docker来部署，也可以不用Docker（比如用虚拟机、物理机）。
Docker不仅能部署微服务，也能部署单体应用、数据库等各种软件。
一句话总结：
微服务是“怎么拆系统、怎么设计服务”
Docker是“怎么打包和运行服务”
微服务可以用Docker来实现，但两者不是一回事

70-为什么会有两个 Nginx 配置文件？一个是网站的，一个是nginx软件内的也就是全局的。

这就像**“公司管理”**一样。

1. Nginx 软件配置文件 (nginx.conf) —— 相当于“公司总章程”

位置： 通常在 /www/server/nginx/conf/nginx.conf。

作用： 管理全局的事情。

招多少个员工（worker_processes）。

每个员工能干多少活（worker_connections）。

日志记录的格式标准是什么。

全局的超时时间（比如我们刚才改的 fastcgi_read_timeout，如果在那里改，服务器上所有的网站都会生效）。

2. 网站配置文件 (elonmusk.cn.conf) —— 相当于“部门规章制度”

位置： 在 /www/server/panel/vhost/nginx/ 目录下。

作用： 只管理 elonmusk.cn 这一个域名 的事情。

这个域名的证书在哪里？

这个域名的根目录 /www/wwwroot/... 在哪里？

这个域名要不要开启 HTTP/2？

这个域名的伪静态规则是什么？

3. 它们是怎么联系起来的？ 在“总章程”（nginx.conf）的最后，通常有一行这样的代码：

Nginx

include /www/server/panel/vhost/nginx/*.conf;
这行代码的意思是：“请把 vhost 目录下所有的部门规章制度，都加载进来。”

总结：

它们都是 Nginx 的配置文件。

Nginx 启动时，会先读主配置，读到最后，发现有 include 指令，就会把你的网站配置也读进去，拼成一个完整的大文件在内存里运行。

修改原则： 如果只想改某一个网站，动网站配置；如果想改服务器整体性能，动主配置。

71-一个php程序的网站，用户发起请求，服务器做了什么？

1. 不开缓存时的详细流程（动态渲染）
1. 用户发起请求
用户在浏览器输入网址或点击链接，浏览器发起HTTP请求（如GET /index.php）。
2. Nginx接收请求
Nginx作为Web服务器，监听80/443端口，收到用户请求。
3. Nginx判断请求类型
判断请求的是静态资源（如图片、css、js）还是动态脚本（如.php）。
发现是PHP脚本，将请求转发给php-fpm。
4. php-fpm接收请求
php-fpm启动一个空闲的PHP进程，准备处理这个请求。
5. PHP执行流程
加载配置和框架
读取php.ini、autoload、框架核心文件、配置文件等。
加载插件/扩展
加载所有已启用的插件、扩展、钩子等。
Session处理
读取/写入Session（如从Redis获取用户会话信息）。
权限/用户认证
判断用户是否登录、权限校验等。
参数解析
解析GET/POST参数、路由分发到对应控制器/方法。
数据库操作
读取数据库（如文章、用户、配置等），执行SQL查询。
执行你加的功能/代码
可能有复杂的数据处理、外部API请求、文件操作等。
外部API请求（如有）
通过curl、file_get_contents等方式请求第三方服务，等待返回结果。
业务逻辑处理
处理数据、组装页面所需内容。
模板渲染
加载模板文件，将数据渲染成HTML字符串。
日志记录
写入访问日志、错误日志、调试日志等。
Session写回
更新Session内容（如有变动）。
6. PHP输出HTML
PHP将最终生成的HTML内容输出给php-fpm。
7. php-fpm返回结果
php-fpm将HTML内容返回给Nginx。
8. Nginx下发响应
Nginx将HTML响应返回给用户浏览器。
9. 浏览器渲染页面
浏览器解析HTML，加载CSS/JS/图片等资源，最终显示网页。

72-你起码得知道基础的linux操作文件

比如vim打开编辑器和：wq退出，和u回退命令，r修复文件，i进入文本的编辑插入模式，esc退出命令行模式等等。

73-如何多台服务器给一个网站处理请求？这就是集群，也很多种方法，比如最简单，公用一个数据库，多台服务器程序一致，然后把用户的请求，处理分发到不同服务器就行。

74-服务器没ipv4，只有ipv6，那么用户终端不支持ipv6的用户是没办法访问你的，你必须加个支持ipv6转4的cdn，ipv6建站是用aaaa记录，不是用ipv4的a记录

75-登录用户请求一个网站，程序是怎么查询数据库和渲染下发的，php渲染出页面很吃性能，调mysql数据其实不吃性能

76-内链是什么？

比如内链新增一个  关键词：测试 链接：www.ceshi.com
那么后续发文章，没有任何配置，只要文章有测试两个字，测试就会变成一个可点击的超链接

77-udp是有ip的,比如qq视频用udp,如果没转发,是可以看到对面真实ip的,因为建立了通信,所以这个ip是真实的,但是udp攻击为什么不能封ip,因为udp不验证ip真实性,攻击者伪造就行了发包就行了,也不需要建立通信

78-腾讯云轻量云服务器、云服务器如何进行内网互联？

https://cloud.tencent.com/developer/article/2218890组网

79-docker和集群和k8s是什么https://www.bilibili.com/video/BV1aA4m1w7Ew/

80-FinalShell是一款由Java编写的一体化服务器网络管理软件，不仅提供SSH连接功能，还整合了文件传输（SFTP）、服务器性能监控等开发运维工具，可视为XShell与FTP工具的集合体。其免费版本已覆盖基础需求，付费专业版（约128元）提供更全面的功能。‌‌和xshell一样的产品

2026出了个warp，终端ai，可能这些控制台软件都得淘汰了

81-哪吒面板监控服务器群资源性能的，这是那些玩机圈的人玩的，手里一大堆服务器，用来监控服务器资源的

82-免费dns解析是有qps限制的，普通网站不用管，人流量大的网站需要买付费dns

83-方便后续维护，最好写功能操作日志等等

子比

子比配置

1-子比主题内置的百度审核，只能审核图片和文字，视频的话需要去对应cos或者oss中购买审核服务。

审核服务是cos检测每一个你设置需要审核的内容，比如视频，如果有违规，会自动改为私有访问，也就是只有自己能看到。私有访问后的资源不会被腾讯云巡检的内容审核检测，此违规视频只要是私有访问就可以存放在cos，不会被判定为违规。如果有个别视频没有审核到，被提示违规了，也可以申诉。

百度是上传到cos前，先经过百度审核，通过了再传到cos，图片的话其实也可以不要百度审核，直接给cos审核就行，只是子比开发设置的就是百度，而且百度有免费一年的一些资源送。

但是cos不审核文字

2-子比中用户如果发帖和投稿需要审核的话，重新编辑内容后，需要重新审核，已经审核通过的老内容也会消失，当新内容通过后，才会显示，而且子比后台有不同版本修订的内容。

3-优化的时候，设置了php的opcache，redis拓展和nginx压缩等等，要去设置一下具体配置，问人工智能或者查找，设置一个适合自己的配置。

4-站点中文章和帖子的最后的默认SEO的title，是在wp系统中的设置的站点标题设置的；子比主题内设置的只是主域名生效。

5-当子比中设置了网站的站点图标（也就是浏览器网页标签上显示的），那么wp设置里面的图标就不要设置了，否则会覆盖子比的。两个图标最后只用一个，同时使用wp设置的会覆盖子比，还可能导致bing搜索引擎中不收录网站图标。也可能导致其他搜索引擎收录图标错误，比如谷歌，这两个图标都不收录，反而收录一个错误的图片当图标。

bing不收录图标要么是有干扰，比如两个图标，要么就是站点时间不够，权重不够，只要有shortcuticon标签中有图标，什么名字后缀都可以，和其中图标名字和后缀和路径基本无关，

6-子比的文章标题就是H1标签

7-子比的vip悬浮按钮，已经是vip的人不显示。

8-想吊起续费会员，给元素加pay-vip即可。

9-腾讯ip归属地的接口，https://lbs.qq.com/dev/console/application/mine，其中子比的App Key是填前面网址中的key而不是key名称，然后签名校验:Secret Key是填前面网址里面的编辑按钮中的Secret key（ SK ）。

注意:创建应用后，还需要分配额度给应用。

教程:https://www.zibll.com/15873.html

10-子比不能在线更新，先把子主题和插件关了，再试试，一般是上述两个冲突导致的，还是不行就看看cdn的回源超时设置为60s，还是不行就手动更新。（注意手动更新的覆盖目录，在线更新是覆盖文件，zibl目录内你自己创建的文件不会被删除，但是手动更新的话，这些文件也会没了）

11-子比是基于wordpress的，wordpress自己就是php开发的，所以其主题一般也是php开发，然后wp还有自己的函数库提供给开发者，用于在php中调用去开发主题等（不是php内置函数库，是wordpress的库，需要引用的）。但是也有少部分不是php开发的主题。

12-百度app中QQ快捷登录，登不上是所有子比用户都是，因为子比登录判断了是不是当前浏览器发起的登录，而百度好像没有正确存储那个信息，所以登录失败。

13-子比有个这功能 通过设置发帖按钮的链接，设置为/posts-edit/?plate_id=板块ID，也就是提前加了个参数，可以默认发帖板块功能

14-想写插件，直接用cursor写，导入子比源码，外加一个插件的标准模板，就行了，然后发命令

15-可复用的图片建议在后台写好备注，以为反复上传浪费资源也不好管理，后台的媒体素材库删除后，如果你文章中用到了这个视频或者图片素材，那么文章中的视频或图片也会无法显示。所以我们不能乱删媒体中的文件，那么方便浏览和管理，所以我们最好备注复用图片。

16-配置了redis和opcahe什么的，数据库查询还是高，是因为各种插件导致的。然后是页面渲染速度，如果数据库查询很低，然后渲染还是很慢，那大概率是你自己加的某个代码在请求接口很慢，比如你的每日60s看世界或者今日热点，这些外来代码在请求接口，很慢，只有这些接口成功，页面才渲染完毕

17-帖子前后台默认的编辑都没办法用古腾堡编辑器（子比可以手动开启帖子古腾堡）；文章只能后台管理员能用古腾堡。

有那种让前台文章编辑支持部分古腾堡功能的代码，但是目前功能很差，没啥用。这个普通用户也用处不大，现在没成品，需要定制开发，成本大，收益小，不需要做。

也有增强前台文章和发帖经典编辑器的代码和插件（如Advanced Editor Tools），挺好的，可用。

18-子比连续签到不是无限翻倍，一个周期后会重置奖励

子比常见问题

1-自定义js中使用window.onload，导致子比弹窗失效，因为：一个页面只能运行有一个window.onload，而子比官方的弹窗功能就是使用的window.onload，所以两个window.onload就导致了弹窗功能被覆盖。然后就一直不弹窗了。

解决办法:使用 （ window.addEventListener(‘load’, function() {}）来避免与其他 window.onload 冲突，同时确保代码在页面加载时执行。

教程：https://www.zibll.com/forum-post/32859.html

2-确定谷歌浏览器中访问网站状态栏黑色是pwa导致的，在setup的design那里,还有pwa应用启动图也可以修改

3-出现如下情况，可能是WPS隐藏登录插件 这玩意导致的，关了能恢复，这个插件其实没啥用。隐藏不了的。

其实没啥用，因为这个只是隐藏了wp的官方登录地址，是普通用户从这登录就是普通用户，是管理员登录就是管理员，你改了这里，其他人登录一样能看到你设置的登录地址。
你也不能在宝塔中禁用这个地址和路径，比如禁止zuonisuoxiang123或者/wp-admin，zuonisuoxiang123普通用户登录退出都要用到，wp-admin用户访问前台部分功能也需要用到
所以没法给后台黑名单url，因为管理员和普通用户都是这个路径url登录，禁了普通用户都登不了了，只是管理员登录可以访问wp-admin进入后台，普通用户访问是自动访问前台首页，其中前台很多功能也是在wp-admin/xxx.php这种下执行的，所以不能禁

4-更新主题请务必清空缓存、刷新CDN，再保存一下主题设置

更新不了，除了cdn设置回源时间，或者本地host设置直连服务器，还有关防火墙，还需要记得刷新各种缓存，如cdn和redis缓存，还有一个重要的浏览器缓存，ctrl+f5刷新不了的，得换浏览器。

如果还是不行，就去手动更新。如果是测试版，只能在线更新，官网下不到安装包，可以尝试就去temp文件夹找安装包，

5-子比的重置选区，可以只重置当前选中的那一页的配置

6-子比大家讨论的的id，无论板块，文章，帖子，比如文章链接xxx.html，这个xxx就是id

7-404页面是可以设置的，一个是404页面，一个是子比的404页面

8-网站访问404？明明没问题？可能是因为你开的缓存插件，或者pwa插件缓存导致的，需要把pwa缓存关了，有时关了还是不行是浏览器缓存导致的，你ctrl+f5也没用的，开f12网络停用缓存也没用，必须换新浏览器

9-子比前后台编辑器有一点不兼容的，前台写的文章后续就前台改，在后台改会提示当前区域不可显示等等。如果是后台写的文章也不要前台改，比如后台用了子比特定的编辑模块比如zibll视频模块，在前台编辑此文章的话，会导致这个模块直接丢失，如果你还点了保存，那么就真丢失了。

10-子比私信中图片上传一样会触发审核机制，所以可以放心开图片聊天

速度优化

不同程序的优化有所不同，但有的东西是通用的

1-追求速度可以开启http3,quic,bbr

2-nginx的gzip_comp_level对性能影响很大，cpu垃圾的轻量服务器，建议直接1-3，值越大压缩的越好，但是对cpu负载更大。

3-宝塔加速是很有用的，未登录用户直接缓存下发html,服务器不行的人可以用，但是和niginx防火墙冲突，人机验证通过后，又缓存，还是人机验证

4-fileinfo，imagemagick，exif，这三个建议安装，可以提高网站上传效率

5-实测php8.4比7.4快了一倍，不过注意你的插件兼容性是否适配最新版php

6-通过测试，wp-statistics这种统计插件最少让你的页面生成速度慢150ms左右，wordfence更是会让数据库查询次数变多，页面生成速度肯定也变慢。

7-opcache可以让速度快4倍，不开是800ms，开了200ms

8-各种你引入的代码小功能，都可能拖累你的页面访问速度，因为并不是异步

比如60s或者今日热点的小工具:

因为主页的60s看世界和历史上的今天，都需要请求外部api，当外部api不返回内容，或者很慢，那么会导致你的网站也加载不出来

这个也和你网站的渲染方式有关系，如果是异步就不会

如果就是同步，你可以把api内容缓存，因为每日60s和历史的今天又不会变，你可以每天请求一次，然后缓存在wp中，然后后续访客访问就不需要重新请求外部api

9-数据库查询次数多？反正就是排查各种插件。

wordfence安全插件，占了15次（没啥用，原先不懂装的，里面什么防cc什么防注入，宝塔就有，而且防cc什么的根本没有，我已经关了）
比如积分商城和签到抽奖插件各自5-10次（这个没办法，只能保留）

10-php中的ig插件影响一半，ig可以装，但是得redis先安装好再装，顺序错了可能有问题，导致页面变慢,这是玄学问题。

11-用我pwa也会拖慢渲染速度，比如Super Progressive Web Apps差不多拖慢700ms，可以看看其他插件代替它的功能，或者关闭插件某个影响速度的功能。

大概是缓存功能导致的，把缓存功能关了就行了

12-其他插件或多或少影响渲染时间，和插件作者优化有关系

洪墨ai和wps登录现在和隐藏登录几乎不拖慢时间，抽奖和积分商城和文章推广引流和wml-diy都是100ms左右，wpstatistics100多一点

面板

宝塔

1-宝塔的默认站点就是设置的谁，用ip访问就是访问谁

2-设置禁止ip访问https://www.bt.cn/bbs/thread-4693-1-1.html

3-如果宝塔被黑，比如用了开心版，那配置的邮箱密钥和cos密钥也就可能泄露了

4-如下这七个软件是企业版比专业版的优势，其他的没用

5-宝塔https://mp.weixin.qq.com/s/w7sZFmy5LgJoBat-qUwTiw清理服务器和性能优化

6-有时候面板打不开，网站正常，去服务器输入bt，重启下面板，还是不行就修复面板

7-有时候宝塔面板连接打不开，有可能只是你服务器太垃圾了，重启下服务器就行了

8-宝塔刚装，发现登录入口打不开，是因为你服务器防火墙没放行宝塔面板的登录端口

9-禁ping其实没啥用，无论是安全组协议禁还是宝塔禁，你能禁正常ping，但是只要你那个端口是打开的，你无法禁止tcpping

10-尽量不要用开心版，因为不懂代码的人，开心版不知道有没有私货，面板的权限是很高很高的，如果有私货，基本上服务器是直接沦陷。

11-记得打开https防窜站功能

12-宝塔面板是支持官方过户的，买卖双方签合同，然后去官方那报备。尽量不要买改绑的那种，可能被找回，虽然几率很小，找回也是找回账户，而你可以在改绑和实名认证后，再把此账户的授权过户给另一个下家的账户保险，即使被找回，授权也已经转移走了。

但是本身可以官方过户，何必多此一举。虽然几率很小，但是万一有人找回，说账户被盗，也就是你买的改绑号是被盗的，那么官方如果支持原号主，即使你的授权已经提供官方过户转移给其他人了，官方也可能把你下家的授权拿走，你虽然也花钱了，但你的下家就会找你，你就需要你自己找你的上家，如果上家是盗号者，自然打水漂了。

但是宝塔应该不会这样做，不然全乱套了，应该会按盗号纠纷处理，也就是不会回收你下家授权，而是叫你配合看你是不是盗号者，然后叫你提供你上家信息

13-雷池还是挺强的，但是很贵，三千六一年，免费的差点意思，买其他人的也是一千一年，太贵了

有宝塔专业版的话可以试试宝塔独立waf，比不上付费雷池，但是可以平替

14-宝塔使用了cdn的知识

我想问一下宝塔nginx防火墙的ip判断机制。

比如我用了cdn，防火墙也勾选用了cdn，但是没给cdn的节点ip设置白名单。

那么cdn的节点有没有可能因为请求过快，触发nginx防火墙规则被防火墙拉黑？

如果会拉黑，是不是最好必须给cdn白名单。

如果不用给白名单，不会拉黑，那攻击者万一伪装成cdn来攻击，岂不是防火墙直接被绕了？

答案是不给cdn的节点白名单，也不会因为速率问题拉黑cdn节点，对cdn节点的判断是看有没有带cdn回源头部，那么如何防止伪装cdn呢？
如果觉得攻击者会伪造ip，可以自己在cdn层面自定义设置回源的一个header头部，然后在宝塔cdn识别配置那设置这个头部，然后把其他cdn的头部，也就是通用的可能被伪装的头部header都删了。
再者你的所有请求都是通过cdn的，对面又不知道你的源ip，怎么伪造成cdn的请求到你服务器，伪造了也没用，它得过cdn的waf速率验证，不过如果它能过cdn的waf，在nginx防火墙层面伪造也能起作用，用来骗nginx防火墙不封它。

不对，假设它伪造了cdn头部，你网站有cdn，最终到宝塔的请求是你真实cdn发的，本身就带cdn的header头部，不需要伪造，然后不管攻击者的请求有没有伪造cdn头部，你真实cdn告诉服务器nginx防火墙的是客户端的ip，也就是攻击者的节点ip，应该是不包含头部的。所以除非你没用cdn,所以按理不存在这种情况（具体和宝塔和协议原理有关，我这个说法可能不准确，在我的认知中是如上见解），你没用cdn人家也不会大费周章，人家第四层攻击就行了/

所以这种情况可能性小，不过如果不放心，想防就自定义一个头部吧。

那为什么有的人给服务器防火墙设置白名单，这样做的目的是，让除了cdn节点ip的服务器可以通信外，不接受任何其他ip的流量，是防止有不知名流量绕过cdn透到服务器这里来

但是，不封cdn前提是开了使用cdn的选项（在宝塔网站设置的全局设置里有cdn来源ip解析选项要打开，还有nginx防火墙里面也有cdn开启功能，只有这样才能识别准确的客户端ip，比如nginx防火墙不开的话就把cdn节点算客户端了，就会误封节点。）

15-宝塔防篡改需要设置程序规则

，否则它直接给你各种文件不能编辑，你网站的正常功能，比如用户发帖和上传图片功能等都会被限制。设置了专属规则，它会自动配置规则，基于你程序的一些功能，它不会禁止。但是也有例外，比如我的程序，虽然是wp，防篡改专属规则设置的也算wp，但是用户发文章的时候，图片和视频会先上传网站根目录的如：/www/wwwroot/ xxxx.cn/2025 目录下（在这进行缓存的，上传成功到存储桶后会删除），但是这个操作就被拦截了，所以又需要去防篡改中加此文件目录的白名单。

16-开了加固和防篡改，插件的安装和卸载都会出错，因为加固了环境，环境无法动，然后防篡改是让文件无法动

开启宝塔系统加固和企业防篡改什么的,会导致wp插件无法更新

17-如果第一次搭建网站，你的程序支持mysql8.0就直接用，如果已经是5.7那没必要升级8.0，影响不大的，如果要升级，注意只需要导出数据，不要导出mysql5.7的结构。导出5.7的结构然后导入8.0肯定报错的。

18-宝塔的流量是包括所有网卡流量的，本地通信也算在里面，选择出口网卡才是流量下发的实际流量速率

19-宝塔加速插件缓存可以让未登录用户缓存，默认登录用户全实时

20-可以在宝塔中配置网站和数据库定时备份到腾讯云cos存储桶中，网站一般三小时备份一次，数据库每三十分钟备份一次

21-如果你用cf做cdn，宝塔不能禁国外，不然就把cf节点都禁了，或者给cf节点白名单，不过cf节点是变化的，你需要监控并更新，搞个宝塔定时任务。

22-ssh一直登录不上，明明密码正确，可能是因为你设置了root账户只能密钥登录，没开启密码登录

23-开防cc等设置记得别把蜘蛛防了，宝塔防火墙应该有蜘蛛白名单功能

24-雷池免费版不如宝塔独立waf，具体根据当时实际价格和你的业务需求决定

25-宝塔设置里面有一个菜单栏，里面有wptools和ftp和邮局等等，默认隐藏了

26-宝塔端口开放中你会发现有一个莫名其妙的端口开启，其实可能是你的ssh端口，如果你只在宝塔登录控制台，不需要远程登录控制台，这个端口在服务器厂家的安全组那其实不需要开，因为你宝塔登录ssh进入控制台是算本地登录，一般是直接可以访问的。

宝塔中的重置ssh密码和云服务商控制台的重置服务器密码都是重置的ssh密码，有ssh密码和端口就能通过远程工具，比如xshell等去登录服务器。

然后云服务商一般提供了vnc登录，vnc也是一种console的一种登录方式，此登录方式是不走ssh服务以及网络的，当系统如ssh服务异常，网络异常，系统异常都是可以使用厂商的vnc登录排查，这是中厂或者大厂才有的。

也就是说，你选择vnc登录后，也是需要输入ssh账号密码的，账号最高权限就是输入root，密码就是ssh密码，你忘记了，就直接在云服务商控制台重置密码。

vnc登录和你在自己电脑比如xshell登录的区别就是，vnc不受端口影响，不需要输入端口，也不受防火墙影响，你安全组端口全关也能上去，也不受宝塔防火墙影响，比如你宝塔设置不允许ssh登录，在vnc中一样是能登录的，宝塔设置的不允许ssh登录，只能拦住，xshell这种远程登录。

27-hexo博客或者其他内容的本地git提交到服务器。

另外提一个东西，比如hexo博客，你设置ssh免密码登录提交git到服务器，也就是通过密钥登录，密钥登录和密码登录一样都需要指定端口，在hexo配置文件中指定了的。密钥登录可能是有一个Enter passphrase for key的，看你有没有设置，就是你用本地密钥连接服务器的时候，使用此密钥需要输入此密钥短语才能使用本地密钥。

本地是私钥，服务器是公钥，服务器只接受来自这个私钥的连接，然后可能你还设置了密码，就得输入密码（防止电脑被其他人使用）。
权限哪来的？因为本地ssh和公钥和私钥是你自己创建的，然后你把公钥id_rsa.pub放进了服务器的~/.ssh/authorized_keys（这个是需要你自己在服务器创建的），这个公钥可以和你本地私钥匹配，你创建这玩意的同时，服务器就给了权限。

部署中，如果你部署了密钥，也就是免密码登录，那么会先通过密钥登录，如果密钥登录失败，会再尝试密码登录，也就是叫你输入ssh密码。如果确定密码准确，但是一直无法登录，可以看看你的宝塔防火墙中的ssh安全设置，还要有没有通过failban防爆破把自己ip的ssh登录操作拦截了，或者ssh端口在服务商安全组中有没有放行。

28-宝塔的phpmyadmin打不开，504，很可能是你的php版本和phpmyadmin版本不兼容，可以再下载个其他版本的php，一台服务器宝塔可以同时下载多个php版本，比如你的程序使用php8.4，phpmyadmin无法打开，然后你去下个php7.4，其他无需配置，你会发现phpmyadmin能打开了

29-如下情况下，是能打开宝塔终端的。图中ssh密码登录和ssh密钥登录应该已经是限制的所有用户的登录。root登录设置，是进一步细分，单独针对root登录角色的登录限制。为什么图中已经全关了 ssh密码和密钥登录，只是开了root登录设置的密钥登录，还是能登录呢？已经全关了，按理root的密钥登录也是不起作用的呀。可能是因为宝塔中关的是端口层面的禁止，但是宝塔内终端是通过本地服务器执行的，不受端口影响。

30-如果忘记宝塔密码，可以在ssh界面，输入bt快速重置密码

31-宝塔面板不要安装过多的php版本，会影响服务器的性能，很简单的道理，你手机用不到那个软件，就不要开启那个软件的后台，虽然损耗不多，总归有一点。

32-宝塔默认站点要设置一个假网站并且绑定假ssl，防止源ip泄露

33-php安装Redis扩展，session建议用Redis，能优化一下加载

34-tls1.1没具体需求可以关掉，不安全。

35-fail2ban，linux工具箱，php守护，这些插件真的很方便

1panel

1-https://www.nodeseek.com/post-8896-1宝塔转1p

2-1p是通过激活码绑定，服务器安装了1panel需要绑定激活码，也就是如果你的激活码泄露了，任何人都可以使用，但是只有第一个人可以激活，激活了，除非解绑激活，不然其他人激活不了，但就算激活码泄露了，对方有你的激活码,谁先绑定是就是谁的,但是号在你手上,你可以在号上取消激活码对其他机器的授权,再绑定自己的

3-1p激活码无法改变，但是账户所有者可以下线绑定的ip，当激活码被第一台使用了，绑定第二台会提示失败。账户所有者下线第一台再绑定第二台即可

4-docker是趋势，隔开也安全

5-wp臃肿，node等最快，但是市面上wp现成模板占比多，node开发成本高。

6-宝塔和1panel的区别?

1p适合java项目，前后端分离项目，宝塔适合php。适合不是说必须用，两个面板都可以用

1panel是golang开发的，本身不是运行在docker里面，只是他的网站、应用都是跑在docker里的，好处是资源可以隔离，而且迁移方便，坏处就是docker引擎有额外的开销。
宝塔是python写的，得靠python解析器，所以内存占用相对更多，只是宝塔的网站、数据库这些没有跑在docker里，不需要依赖docker。
如果你只是装面板，不装任何应用，包括不装网站，那1panel内存占用是比宝塔低的，但也就只有面板内置的功能可用，比如文件管理、防火墙这些。
其实个人感觉docker引擎占不了多少资源，它又不是虚拟机，只是容器管理，我已经全线从宝塔转移到1panel了，容器式管理很适合我这种环境洁癖。之前用宝塔的时候老是遇到这样那样的冲突，安装了个什么软件就导致宝塔出毛病了，用docker反而没这个烦恼，只要docker没挂，里面就不受影响。

7-1panel的节点数是多节点管理用的，比如专业版带20个节点，就能用专业版同时管理20台服务器，但是另外20台服务器只有社区版功能，没有专业版功能（比如高级功能网站监控）

wordpress知识

1-wordpress的插件配置和子比的配置都是写在数据库内的

2-页面出警告了，可比如warning，可以改一下php报错等级到最低，这是因为你程序报的警告

3-大部分什么统计用户行为的插件和功能，基本上会拖累1s的页面生成时间

4-Shopify 是一家加拿大公司，全球知名的 电商 SaaS 平台。它提供建站工具，让商家不用自己开发网站，就能快速搭建在线商店、收款、发货。很多独立站跨境电商卖家都是用 Shopify 来开店。

5-不知道为什么后台特别慢，不是cdn的问题，因为直连服务器源站也一样，也不是我本地的网络问题，热点一样慢。后面发现问题了，是插件的原因，禁用插件后变快了是WML-DIY插件导致的，而且不仅是影响插件页面卡顿，是全局卡顿，插件页面拖累十多秒，其他页面也拖累四五秒，这个就证明了插件优化问题，然后在不同php版本下，速度也可能不同。插件不仅影响前台，如果有和后台相关的东西，一样影响后台速度

6-wordpress更新一直没反应？然后再点更新，提示另一更新正在进行。但是过去了很久，另一个更新一直不完成？

7-恶意搜索留痕

网站还可能有被恶意搜索留痕的风险，就是他用你的网站搜敏感词，然后这个搜索可能会被搜索引擎收录，你可以设置搜索频率限制，然后robots设置`Disallow:/?s=*`，防止痕迹被搜索引擎记录，导致站点被k排名

还有设置禁止敏感词搜索

8-wp是可以设置评论层级数的，设置-讨论-线程评论层级数量

9-历史文章可以在wp后台编辑文字中的修订版本中找到。这里也可以设置修订版本保存数量，我没设置，一篇文章已经一百多个备份了，会消耗很多资源资源。

10-wordpress的插件商城只提供免费插件,作者可以给pro版本一个链接介绍,但是pro版本不能在wordpress插件商城直接下载安装的,必须去作者的官网下载,然后自己上传

11-如果你的网站就是很卡，明显不正常，没人攻击，就是本身卡，可以试试删除wp_options这个表的autoload

wp_options这个表的autoload高达几十万条，删掉就好了，服务器压力瞬间下降，网页秒开。

如果你是采集网站,也就是文章都是采集的，可能就出现这种问题,有的缓存和过去数据和采集插件数据等能删除,有的主题配置和wp数据等不要删除

第三方平台配置

1-qq邮件进垃圾箱了，貌似已经注册过的用户登录不会，但是新注册用户的注册验证码会进入垃圾箱
这个有很多种原因，比如dns设置PRT和DMARC和DKIM等等，我也忘记了，搭建阿里云企业邮箱我也是看教程搞的。一般来说邮箱内容不要出现广告和超链接就行了，我把超链接删了，就正常了。

你如果想保留超链接什么的，可能需要更高权重的邮箱和各种配置，让邮局认为你可信
最简单的方法是不要有广告和超链接

2-阿里邮箱20快1w封，但是其实每个月每天是有免费额度的，你的网站不是很多人用，其实不需要买

（免费额度共剩余免费额度1,110封，今日剩余免费额度200封，超出免费额度的发信将消费资源包（消费完自动转为按量计费））

3-尽量企业备案，在腾讯备案，可能在微信和qq内存在白名单，然后可以让你链接在qq和微信正常打开。但是万一红了，就只能申诉了。或者直接用防红代码，也就是检测到在微信和qq打开链接，提示跳转浏览器打开，但这样流量没那么好。

4-开启公众号，用户发消息自动搜索网站内容的功能，这个是开发者的搜索功能，用了这个，就没办法自定义公众号菜单。有办法能解决，但必须是认证的公众号才能解决。

5-转app，简单的就用各种APP一键打包比如fusionapp，难一点的，自己定制化一点东西，就hbuild，其实问ai就行了

6-换了服务器，那么各种第三方配置记得改，比如微信回调ip需要在微信开发者里面改

7-设置了cdn防cc，或者其他防火墙防住cc等，记得给支付回调，登录回调等白名单，防住万一这些回调被当作攻击。

8-邮箱常用发信地址

smtp.qq.com

smtpdm.aliyun.com

9-各大云平台的子账号什么意思?子账号的权限由主账号赋予，比如白山云，有的人买了套餐，如果这些cdn厂家不接受个人用户，你可以从别人那里买流量，相当于别人开子账号给你用

10-技术性问题，腾讯云那些客服也根本不懂的，有好几个层次的客服，前面两个层次，根本不懂专业知识，只知道皮毛，机械性的回答。要转高级工程师，才懂

11-

审核

1-视频审核

1-大概流程：用户上传视频，视频通过cdn上传到服务器本地，同时本地服务器将视频上传给百度审核去审核，审核通过就从服务器上传到oss，然后替换url，审核不通过就删除本地。

这种方法有个缺点，太吃服务器带宽。优点是友好于用户交互。

2-或者设置带视频的帖子和文章，必须通过人工审核（中策，不是长久之计，然后虽然用户无法看到，但是cdn已经缓存了，容易封cdn）

3-存储桶识别到违规视频后，通过大厂的函数功能，告诉cdn清理缓存（下策，特别麻烦，需要和cdn对接什么的）

4-cdn不缓存视频，然后开启存储桶审核（下下策）

不知道有没有其他办法，或者我说的有错误。

实际需要用到了再分析吧，反正对带宽消耗很大，有很多种方法，看选哪种，带宽消耗大到时可以单独一个大带宽服务器做视频姐搜发送的服务器也可以，不过也麻烦，最好不给普通用户视频权限。

视频审核是非常消耗流量的，一般视频站，就下发视频，cdn缓存就行了，但是如果是加上自动审核，通常来说流程是：视频先上传到服务器，服务器又要发给审核平台，审核平台通过，服务器再发给cos，是非常消耗流量的。

扣款费用问题

1-服务器开票的按明细和按月按金额

2-云厂商能自动扣款吗？

腾讯云有强制扣款权限吗，刚刚看到的，比如后付费模式的东西，比如cdn，假设某个人绑卡，腾讯云账号内没有余额，cdn被刷流量刷了200，腾讯云会直接从绑定的银行卡自动扣？

尽量不要绑卡，有强制扣款风险，国内一般不会，比如国内腾讯云和阿里云没绑定银行卡的支付方式，但是国际版等绑定有自动付费功能，比如腾讯云你开启自动付款，会从你的银行卡扣，还有比如平台绑定的paypal等会（比如cloudflare需要绑定一种支付方式，如果你选择paypal，那么就默认指定了一种自动付款方式，cf的账单会自动从paypal扣除，如果你paypal绑定了银行卡，就自动从这个银行卡扣除，所以注册完paypal建议取消卡的绑定，当然这是争对小白防止不必要的情况发生），自己多注意条款。预付款一般不会，先用后付比如cdn被刷这种会。

尽量不要绑定，绑定的话银行卡不要放钱，然后平台的账号安全做好，开强制二次验证，防止被盗。

自动扣款都是国外那种支持直接扣款的万事达visa这些支付通道的卡，我们国内的卡银联是不会自动扣款的

也就是说，国外那种visa和mastcard通道的卡，是能直接扣款的。

我们国内的银行卡大部分是银联通道，你只绑定了银行卡，没授权过，是不会直接扣款的。

2-cos存储别开az存储，会额外计费，这个的意思就是给你的存储多加了一个备份。

您好，这边查看您对应的账单，您目前扣费是多az标准存储费用，这个费用无法通过您当前标准存储资源包进行抵扣的
相关文档https://cloud.tencent.com/document/product/436/36523 目前多az开启后无法关闭的，您如需使用这个资源包，需要您新建一个存储桶不勾选多az能力，把多az存储桶资源迁移到新存储桶中，并且清理之前开启多az存储桶数据，并删除存储桶避免后续扣费
（注意：您今日删除明天还会产生相关费用，因为存储按量计费是次日进行结算的，明天结算的是今天的费用，删除后将再次日不进行计算费用）
多az您可以看下这个文档
https://cloud.tencent.com/document/product/436/40548 创建时不勾选多az特性

版本控制不需要的话也不要开（版本控制 可保存同一对象的多个历史版本，即对象被覆盖写/删除时，会保留操作前的对象版本，并支持通过版本ID回滚数据。适用于防止误删和误删恢复等场景），它本身不计费，但是占标准存储空间计费，如果开了，记得开启定期清理

我就是备份网站，开了多az，还开了版本控制，导致每天存储都多了1g，然后az又收费

怎么开根据情况吧，多az就是多地备份，我认为没啥用，可以开了多az不开版本控制，可以开版本控制不开多az，看你需求

疑难杂症记录

1-起初滑块人机验证失败，而且就是微信内打开链接会提示环境异常，人机验证失败（当有1.2中的登录成功后，再登录也会提示环境异常，应该是微信浏览器框架内缓存了一些登录信息冲突，但是这是我第一次登录，也是人机验证失败），关插件和关cdn缓存和关宝塔加速，和改session记录为redis活着file和改php版本也都没用。 后面把人机验证方式改为极验4.0人机验证又可以了。但是:

2-微信打开网站登录成功后，页面刷新，但是登录状态还是未登录状态。插件全关都没用，什么php的session记录不管是redis还是file都没用，cdn关了也没用，宝塔加速软件关了也没用，所有都关了，包括所有可能的缓存都关了也都没用。

后面把插件和宝塔加速都关了，然后服务器关机十分钟，重启后把插件和宝塔加速软件都打开，又自动恢复了。后续把极验4.0人机验证改成原先的图片滑块人机验证吗，也是正常的。

虽然关机前后插件等环境都没改变，就是重启了一下服务器，但是也可能就是因为原先插件的缓存等一类的东西存在冲突，而禁用插件并没有解决这些缓存等冲突问题，所以在关机重启后，重新初始化了缓存等一系列东西，就恢复正常了。

3-为什么视频上传失败，明明设置了很大的php和nginx可上传文件大小

遇到问题：上传较大视频20mb起开始上传失败，请求响应提示：（失败）net::ERR_HTTP2_PROTOCOL，以为是协议问题，修改了nginx协议为http1，状态码从（失败）net::ERR_HTTP2_PROTOCOL变成了524，其中nginx和php的超时时间和可上传文件大小都设置的很大，也没用，一直失败。
然后发现虽然提示了上传失败稍后重试等，也就是最终那个请求没成功，但是实际上刷新后，列表已经存在了上传的视频。

原因：cdn回源超时设置的太短，或者没设置，导致默认的很短，在服务器上传视频给存储桶的时候，因为服务器本身带宽比较小，所以耗时，然后cdn也就是edgeone一直没等到回信确定是否上传完毕，就把链接关了，实际上后台还在上传，所以后续刷新发现视频已经上传了。
这说明虽然用了cdn和存储桶，但是源站带宽也不能太小，否则上传太慢，如果是存在服务器就没这一环了。但是服务器也没那么多的带宽，可以考虑买云硬盘。

----------------------------------------------------------------------------------------
你提供的这段 HTTP 请求头部信息非常有价值！结合你描述的“文件其实上传成功了，只是前端报错”这一现象，**案情已经彻底破获**。

这就好比：你点外卖（上传视频），外卖员（CDN）嫌餐厅（服务器）做饭太慢，等了15秒就给挂单了（报524错误），告诉你“送不到了”。但实际上，餐厅并没有停手，坚持把饭做好了（文件上传成功并存入了媒体库）。

这里有两个核心结论：

1.  **你的 Nginx 和 PHP 配置（600秒）已经生效了！**
    * 证据：如果 Nginx/PHP 没生效，服务器自己会在 60秒 或 300秒 杀掉进程，文件就不可能完整地出现在你的媒体库里。
    * **现在的服务器端是完美的，不用再动了。**

2.  **凶手就是 EdgeOne 的“回源超时”设置。**
    * 证据：`server: EdgeOne_IS_OCM` 证明你确实连上了 EdgeOne。
    * 证据：`524` 状态码。虽然这是 Cloudflare 的招牌，但 EdgeOne 在某些特定配置或与上游交互时也会抛出类似的超时中断（或者你的 EdgeOne 回源地址填的是域名，而那个域名解析到了 Cloudflare，导致了 EdgeOne -> Cloudflare -> 源站 的链路，从而爆出 524）。

---

### 解决方法（只需要动 EdgeOne）

既然视频能上传成功，说明路是通的，只是**“等待时间”**不够。你需要告诉 EdgeOne：“别急，多等一会儿，我的服务器在处理大视频”。

请按照以下步骤调整腾讯云 EdgeOne 的配置：

#### 第一步：修改 EdgeOne 的最大等待时间

1.  登录 **腾讯云 EdgeOne 控制台**。
2.  点击你的域名 `elonmusk.cn` 进入站点管理。
3.  在左侧菜单找到 **源站配置 (Origin Settings)** 或者 **回源配置**。
4.  寻找 **回源超时 (Origin Timeout)** 或 **最大读取时间 (Read Timeout)** 类似的选项。
    * EdgeOne 的默认值通常比较短（比如 15秒 或 30秒）。
5.  **将其修改为 60 秒（甚至 100 秒）。**
    * *注意：如果你找不到这个具体的时间设置选项，可能需要去“规则引擎”里添加一条规则。*

#### 第二步：检查 EdgeOne 的源站地址（关键）

你说你用了 DNS 分流，但 `524` 这个错误码让我非常怀疑 **EdgeOne 在回源时走了 Cloudflare**。

请检查你在 EdgeOne 里填写的**源站信息**：
* **正确做法：** 源站地址填写你宝塔服务器的 **真实公网 IP**（例如 `1.2.3.4`）。
* **错误做法：** 源站地址填写了 **域名**（例如 `www.elonmusk.cn` 或 `origin.elonmusk.cn`）。
    * *解释：* 如果你在 EdgeOne 里填的是域名，EdgeOne 服务器去解析这个域名时，很可能解析到了 Cloudflare 的 IP。那样就会形成 `你 -> EdgeOne -> Cloudflare -> 宝塔` 的链路，Cloudflare 的 100s 限制或者 EdgeOne 的 15s 限制就会生效。

**请务必确保 EdgeOne 的源站配置是指向 IP 的。**

---

### 为什么会“显示失败，实际成功”？

为了让你放心，我解释一下这个机制：

1.  **上传阶段（前几秒）：** 浏览器把 20MB 数据全部推给了 EdgeOne，EdgeOne 也推给了服务器。这一步是通畅的（状态码 200）。
2.  **处理阶段（第15秒）：** 你的 PHP 脚本开始运转，把视频从服务器传到对象存储。这需要时间。
3.  **中断发生（第16秒）：** EdgeOne 觉得“太久了没反应”，单方面切断了和浏览器的连接，给浏览器发了 `524` 错误。浏览器收到错误，给你弹窗“上传失败”。
4.  **后台继续（第17-60秒）：** 虽然 EdgeOne 跑了，但你的宝塔服务器（PHP进程）并不知道。它还在傻傻地继续传文件。
5.  **完成（第61秒）：** PHP 终于传完了，准备告诉 EdgeOne “我好了”，结果发现 EdgeOne 早就挂电话了。PHP 任务结束。
6.  **结果：** 用户看到报错，但文件实实在在躺在服务器/对象存储里，你一刷新就能看到。

### 总结

你的服务器端配置已经**完美**了（否则文件不会上传成功）。

**只需要去腾讯云 EdgeOne 控制台，做两件事：**
1.  确认源站填的是 **IP**，不是域名。
2.  想办法把 **回源超时时间** 调大到 60秒以上。（如果控制台界面找不到，可以提工单问腾讯云客服“怎么修改 EdgeOne 的回源超时时间”）。

解决这个超时设置，你的上传条就会从“红色报错”变成“绿色成功”。

4-账号密码登录正常，邮箱登录提示验证码错误（实际正确），然后也无法使用qq登录，这是因为php中session存储模式为redis导致，设置为file正常，具体原因未知。可能是php版本问题，当前是php8.1.设置存储session为redis，登录失败，换7.4，还是设置session为redis存储登录正常。所以用file就行了，除非很大流量，不然file和redis没什么区别

5-有php上传大小和内存分配，和nginx上传大小，两个是不同的概念。比如设置的128m内存分配和50m文件上传，上传16mb图片会错误（不知道为什么，上传三十多m的视频正常，可能是分配内存小了，然后图片是全占用，视频是分片上传？），我改了php配置调大一点，就正常了。

为什么 16MB 图片失败而 30MB 视频成功？
图片处理更耗内存
图片上传后，PHP 常需整图加载到内存进行处理（如调整尺寸、添加水印），导致瞬时内存占用远高于文件本身大小（例如 16MB 图片处理可能需 50MB+ 内存）。
视频通常流式处理（分片接收，直接写入磁盘），无需整文件加载到内存，因此对 memory_limit不敏感。
你的配置瓶颈
原 memory_limit=128M对 16MB 图片可能不足（因处理时内存膨胀），而视频分片上传绕开了此限制。

6-