@ChristopherWu
“ the “ X-Forwarded-For ” client request header field with the $remote_addr variable appended to it, separated by a comma.“
这就是我说的拼接。正确做法是在前端 proxy_set_header X-Forwarded-For $remote_addr; 在后端 set_real_ip_from。
按你的做法，到应用内再处理，不仅开销大，而且 nginx 的 access_log 就完全没意义了。Nginx 明明做好的你不用，还要自己造轮子。

"backscatter is a side-effect of a spoofed denial-of-service attack ”
你英文不及格。这是副作用而不是攻击手段和主要目的。用你的例子来讲，被攻击的是 Google 的服务器，只不过 Google 会以为是另一个 IP 在 syn flood 它。但是实际上都是有硬件清洗的。硬件先和你握手，三次握手成功之后再去和服务器握手。syn flood 很难完成三次握手。除非你破解了对方的 seq 生成随机算法。对于没有足够熵源的服务器来说，这种攻击从协议上来讲是有机会的。后来的 CPU 都有熵发生器了，这种攻击也就彻底不可行了。

写安全类文章前，不如自己搭个服务器，去 hostloc 挑衅一下，看看自己是怎么死的，再教别人。恕我直言，我认为你没有运维过一个公开服务的 nginx http 反代，很可能连服务器管理的经验也没有。

要是真听了你的就出事了，连猜 TCP 都不用，直接伪造 x-forwarded-for。
所以必须设置 set_real_ip_from，同时前端反代必须覆盖这个 header 而不是按照默认配置拼接。

然后你这个攻击思路一看就是拍脑袋。1.没有放大系数，其实完全没有必要反射。直接带宽上去打死就行了。没必要纠结协议。只要能路由到对方端口，都是一样的。
2. RST 怎么就能 DDoS 了？且不说人家前面套 CDN，CDN 都是硬件清洗。就算靠自己软防火墙抗，一条 conntrack 规则就可以把这些全部 drop 掉了，不会对 CPU 构成压力。要么你占满带宽打死，那还用什么 RST ？见 1，直接暴力打就是了。

@kangzai50136 RSA 不用与传输实际数据
确认身份已经协商一个对称加密密钥，之后都是用对称
原因是不对称加密太慢了

有些照片？
冠希老师点了个赞

这个价钱这个大小，什么车都不隔音啦。加钱上奔驰就隔音了。
飞度，致炫，其实差不多，自己试驾最重要。
我以前就是开致炫的，国外强制标配 ESP 了。空间大免维护。但是除此之外也没什么优点了。能用，反正不管怎样就是能用。这个价位还要什么自行车？

但是说实话我不推荐这种超紧凑的。车头很短，根本没有吸能空间。你看 iihs 上的结果，这还是美国版的。实际碰撞肯定比测试更惨，因为测试是撞墙。
实际撞，别人的车更重，轻的一方受伤更重。至少烤肉或者思域这个大小往上，哪怕是二手。

反过来这样加密就是签名算法的原理。但实际上不推荐用同一把。有可能存在如下攻击：通过观察签名数据的明文和密文之间的关系（公钥），即使不知道私钥，但也推测加密数据的明文和密文的关系（私钥），或者缩小可能的范围。目前没听说有可操作的攻击不代表以后没有。
所以 gpg 就是建议加密、鉴权、签名三种密钥不同。

@CEBBCAT 实现上是有不同的。n 和 d 组成私钥。n 和 e 组成公钥。e 可以随机选取，但一般都用 65537。也就是说，知道私钥就可以知道公钥。

@luckyuro 实际上只要你用的是常见的软件生成，比如 OpenSSL，那就是默认 65537

先退了再说
真要是好东西，那用得着靠这种下三滥手段卖

说得难听点吧，甭救了，救也白搭。
明显就是浑浑噩噩混了 4 年，什么都没学到。
做任何事情，自己要做才有用，别人勉强的终究不能长久。程序员这行也不例外。
在考虑用什么技术做什么工作之前，先想想自己为什么而工作，为什么而努力，为什么而活着。
自己想努力，自己要工作，哪里没有机会？大活人还能被尿憋死？

没论文不评价
评价一个 TCP 拥塞算法不能只看某个条件下的带宽。和其他算法能否公平共存，会不会导致拥塞恶化，在不同的延迟丢包率的情况下性能表现如何，都是需要测试的。
建议先看看 bbr 论文。腾讯的如果确实靠谱的话，迟早要发论文的。毕竟这可是一大学术成就啊，开发这一票人都可以署名。
增加带宽不难啊，双倍发包把别人全部挤下去就行了

没论文不评价
评价一个 TCP 拥塞算法不能只看某个条件下的带宽。和其他算法能否公平共存，会不会导致拥塞恶化，，都是值得

当场不试机吗？
现在问题是你要有证据证明店员说过这话

@Rh1 中国不承认双国籍，但是永居是不管的。
它不可以随便取消你国籍，否则你就变成无国籍难民了
永居是中国护照外国绿卡，中国护照不能没有
无国籍难民只能用联合国旅行证

用 webdav 协议都可以搞定。需要自己编译 Nginx 加上 dav_ext 模块。然后直接文件管理器就能连接。我之前就是这样用的。

nuc 的 IO 性能不行，也没法插 pcie 卡。
你买个洋垃圾工作站，用电量是大一点，但毕竟是 ECC 内存服务器 CPU，稳定性依然靠谱。

@ZavierXu 我们对通勤车的定义不同。我说通勤车就是上下班通勤，周末去超市。家庭唯一用车的需求当然远不止通勤。你的所有论点始终是以电动车是唯一车的前提。如果电动车是第二车，或者能以租车 /打车补充，那无论是续航问题就不是事了。

你说的是技术，我说的是市场、产品。德国车混动款都没几个，插电更少。和日本车全面铺开差远了。因为日本车卖点就是省油耐用，性能及格就行。汽油车上赛道过热也是分分钟，问题是一般人谁在乎呢？电池都是液冷的，除了早期的 leaf，其他的都完全可以满足日常需求。

大脚油门费电就费电呗。这又回到续航的问题上，能保证每晚充电的话不是问题。只要每次看到电动车的广告续航数据，自动心里打个折再计算，够用就行了。你在马路上开，每个红绿灯都大脚油门，不会有任何问题。汽油车每个红绿灯地板油的话早就噪音扰民了。

特斯拉没有是因为特斯拉自己的导航就已经整合的比较好，可以直接从手机推送地址。你不要拿国内电动车比。看看合资车。日本车美国车，总体来说都上的比 bba 早。而且你现在倒回去看旧车型是不对的。因为有些车是后期升级系统提供。

短时间租车再高成本又能多高？你一路开过去，假期时间也是成本，中途住店也是成本。可能算下来还不如飞机高铁过去然后当地租车打车。你说的其他这些都是问题加钱租好一点的车可以搞定的事。一共也没几天假，多不了多少钱的。

你问我也没用，我开的是插电式混动，长途就纯油了，但我也从来没单日开过 300 迈。五六个小时呢。宝贵的假期你就用来开车？ road trip 也不带这样的。

只能说国情不同吧。美国这样的操作很常见。国内还没这个习惯。

@Steps 从你贴的 log 估测每秒 5 次，往上加一个数量级，50*24*3600 几百 MB 顶天了。你看到的这些都是烟幕弹。每秒 5 次的请求是不可能打出 100%CPU 的。
你可以直接使用 limit_req 控制频率。也可以写个脚本查 404 的频率，再把恶意 IP 加到 ipset 里让 iptables 过滤。

你先把 log 过滤一遍，看还有其他什么鬼。然后还是抓包分析。

不必屏蔽 UA：1.已经是 404 了，屏蔽 UA 也减少不了多少压力 2.换个 UA 还不简单？

@jin5354 简历的目标不是完整展示自己，而是论证你和该职位最合适。
没时间也就算了，有时间的话一定要针对岗位调整。可以写一份长的，每次都针对岗位删减不太相关的部分，最后交出去就是一页。

@blufaux 税。还有收入水平。美国虽然收入高同时生活成本高。但像车、电子产品这些比较贵的东西，反而就是汇率价格而已，甚至还更便宜。

BBA 在美国也没那么贵。除了高端型号，大部分只能叫比较豪华的车而已，谈不上什么身份的象征。

美国中位数年收 6 万多，就算买辆 3 万的车开 5 年，那就是 10%的年收而已，加上用车成本最多 15%。完全不是负担不起。实际上这个收入水平的人，买二手车很常见，开十年也很常见，那就更便宜了。
按同等比例加汇率换算，20 万的车，就是 40 万的年收。中国中位数收入税后 12 万多，加上税也远远不到 40 万。
更何况程序员工资更高，10 万算是毕业起薪，五六万买辆中低档 BBA，又算得了什么呢？

直接让 web 服务器给他一个静态页面不就好了。Nginx 和 Apache 都可以轻松实现这个目的。
这点请求量，简单的静态请求不可能打满 CPU。要么有别的恶意请求混在里面。要么这些连接有鬼，比如 HTTP slow post 之类的。tcpdump 抓包分析吧。