[云计算] 境内个人网站如何防范钱包遭到 DDCC？

[小天管理]

需求：

1. 个人网站服务器（至少是 CDN ）在中国大陆，以避免各种玄学访问问题
2. 平时保证基本的境内访问速度体验（支持境外、Websocket 、IPv6 更优）
3. 自动防止 DDCC 造成高额账单，防范措施的成本尽可能低

已知：

对于主流云服务，个人用户承受能力范围内的大多是超低带宽服务器，难以满足需求。因此往往采用 CDN 、对象存储等服务，面对终端用户的基本都是 CDN 。虽然 CDN 不太可能被打垮，但攻击者可以耗尽站长的钱包以实现拒绝服务。即使流量相对更便宜，仍能产生巨量账单。此前 V2EX 、hostloc 等社区已经有不少讨论，阿里云、腾讯云等服务商也有高额账单风险建议。但对于个人网站，当前的措施似乎仍然存在隐患：

1. 防盗链、鉴权：恶意攻击者指定 Referer 没有难度。一般也不可能所有页面内资源都上鉴权，只要逮住一个刷就可以制造大量流量。
2. WAF 、DDoS 防护：查过的几个大厂价格基本不属于个人用户的范畴。
3. 黑白名单：只能事后补救，难以事前预防。
4. 单请求限速：只能防最基础的小白，多请求、多节点就不好说了。
5. 带宽 or 流量封顶：个人认为还算有点用。但是厂商通常会指出监控数据存在一定延迟，下线前产生的流量、带宽、请求数等资源消耗将会正常计费。（顺便一提，部分产品没有这个功能，例如阿里 DCDN 仅支持 10Gbps 级别的带宽限速，没有封顶选项）

问题：

对于主流大厂，使用 CDN 带宽封顶似乎是一个暂且能用的方案（尤其是腾讯、华为等，在配置界面直接支持 5 分钟级流量封顶、百分比告警、自动解封）。但这么做是否真能保住钱包？不知道是否有案例分享。

另外，其它国内厂商是否会提供更好的解决方案？像 Cloudflare 这样能硬抗的“大善人”肯定不能指望，但我至少会希望：

1. 有 CDN 方案支持达量限速，或者至少承诺余额用完不会倒扣钱。
2. 跳出 CDN 的方案，服务器带宽够大也行，流量用完限速或停机。

如果有，欢迎推荐。或者其它能解决问题的方案也欢迎讨论。

注：网站自身成本<50 CNY/月，如果云原生且没什么人访问甚至可以<10 CNY/月，考虑防范措施后希望<100 CNY/月。