在 https://www.v2ex.com/t/1055422 里面参与过讨论，觉得最佳防护措施是：
开启资源下载限速，按平时流量设置阈值，超过后限速。

用 Provider ，只拿订阅里的节点，不拿其他配置。

@AIGC2D @gaobh @xmlf @PerFectTime @whoisnian @jinlong 估计这些是肉鸡，然后被公开到某个脚本或网站去了。

@90xchun #51 思路还是不一样。

我的思路是修改 DNS 解析，真实用户所用的缓存 DNS 服务器上并没有图片地址，最终去跟权威 DNS 要地址，此时得到最新，而脚本小子那边的缓存 DNS 上已经有过访问记录，会缓存原图片解析 TTL 时间，也就无法攻击新的解析地址了，只有之前没发起过攻击的肉鸡才会拿到新地址。

而 DNS 设置 QPS 会导致新用户很难得到最新地址。举例来说，DNS TTL 设置 5 分钟，然后在 1 分钟之内脚本小子触发 QPS 阈值，此时脚本小子攻击得手的肉鸡还有 4 分钟缓存，可以继续疯狂请求图片，而真实用户所用的缓存 DNS ，由于用户第一次访问图片，必须最终回到权威 DNS 去要解析，而此时权威 DNS 因 QPS 限制禁止新请求，于是最终结果是脚本小子继续攻击图片，而真实用户反而得不到图片解析了。

@90xchun #43 打错了，QoS --> QPS

@90xchun #43 刚才想了想，如果脚本小子动态跟踪业务页面，这种动态调整图片地址还是扛不住。另外一个难点是 CDN 对页面的缓存。可能将防护交给对象存储更实际一些，七牛云啥的不知道有没有这样的服务。一楼的 DNS 限制 QoS 我没看懂，一般来说 DNS 都有缓存，这种对 DNS 的 QoS 限制不知道是什么意思。

@90xchun 对于你这个 case ，海外请求直接导向 cf ，由它负责清洗，国内的请求就只能靠自己写的云函数拦截了。这种架构模型还有个办法，一旦被攻击，云函数给源发通知，源修改 dns ，给图片一个新的云函数地址，自己站点的指向也修改图片链接。由于脚本小子不知道这种动态结构，不会修改攻击的目标链接，他会以为攻击成功，但你的业务可以正常运行。

@90xchun 那用云函数写个 5 秒盾行不行？限制一定时间内的请求。一个简单的 JavaScript 。

我提供个思路，是多年前曾想过的，不知道是否可行。
用国内外云函数服务，做个类似 WAF 的功能，挡在 cdn 前面。也就是把 cdn 地址链接作为源，用户访问只到云函数平台。WAF 功能首先过滤你查到这种链接带 refer 的。

@w5959 你这…让我怎么回答？人家 repo readme 写的很清楚了啊～

大企业用 ESXi ，最稳定。管理几千上万虚拟机的不二选择。

你的问题主要是怕：
1 ）怕不会
2 ）怕把已经写好的弄坏
解决第一个问题：VScode 安装 codeium 插件，有什么编程问题尽管问。
解决第二个问题： https://git-scm.com/book/zh/v2 ，把 git 版本管理弄熟练，从来不存在写好的东西弄不回来这个问题。

@Immortal 啥？ Python 难道不是服务器标配吗？还要折腾运行环境？？？
我肯定推荐用 python 做后端啊，随便写几句就上线了，推荐看一本书《 Python 编程：从入门到实践》直接看项目 3：Web 应用程序，1 小时看书，3 小时代码+测试+上线，比 PHP 高到不知道哪里去了。

Clash 起初就是运行在 Linux ，后来才有 OpenClash 运行在 OpenWRT

@CenN 可以的，只要有适合巨魔的 ipa 就行。

@wander639 谢谢！我用上面给出 ipatool 解决了，就不麻烦 itunes 这大家伙了。

@ETiV 你太靠谱了！！非常简洁的解决方案。成功下载老版本。多谢！

@adrianzhang 发现需求还要管理手机端，那么方案改改。
单独一个防火墙，可以硬件可以虚拟，固定 ip ，局域网所有设备的网关统一设置成防火墙地址，防火墙放行对代理机器 ip 的流量，其他全禁止，代理机器不设置 ip 转发，仅有通过端口的 socks 代理，然后设备上需要联网的应用走这个 socks 代理，手机上有小火箭等应用可以设置分应用代理。

系统外面设置防火墙，拦截所有，只放行通往局域网装了代理的机器的流量，而这个装了代理的机器不设置 ip 转发，然后系统特定应用使用 proxychains 代理到代理机器特定端口