今天凌晨开始，我们的核心API接口突然出现大量高频请求，QPS在短时间内从正常值飙升到平时的20倍以上。这些请求来源IP分布广泛，User-Agent各不相同，但行为模式高度一致：均访问同一组耗时的数据查询接口，且不带任何有效业务参数。初步排查发现，请求并非来自已知攻击IP库，且每个IP的请求频率恰好控制在常规风控阈值之下，传统基于频率的WAF规则效果有限。目前服务器负载已接近临界点，部分正常用户开始出现超时。已尝试措施：基于Nginx限流临时调低阈值，但误杀了不少移动端用户；紧急扩容了两台服务器，但半小时内新实例同样被打满；分析了访问日志，发现请求均来自多家中小云服务商，疑似利用廉价云主机发起分布式攻击。希望请教社区：如何在不影响真实用户的情况下，快速识别并隔离这类低频分布式CC攻击？是否有开源或轻量级的实时分析工具，能结合业务逻辑动态封禁？长期防御上，除了扩容和硬件防火墙，有哪些代码层或架构层的优化策略？